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中 文 翻译 版 

译 者 : Osmond Liang <linuxbooksAT126DOTcom> 
版 本 : 0.99 (2012/04/30) 

中 文 翻译 版 使 用 AsciiDoc + Github 的 方式 制作 。 


e 中 文 翻 译 版 的 源码 位 于 : https://github.com/sinosmond/puppet-27-cookbook- 
CN 


e 您 可 以 用 GitHub 的 方法 参与 本 书 的 纠 错 

e 原 书 为 封闭 版 权 (而 非 开放 版 权 ) 的 作品 
o 鉴于 版 权 原 因 ， 我 未 在 Github 上 以 Github Page 形式 发 布 HTML 版 
o HTML 翻译 版 的 打包 文件 发 布 在 http://down.51cto.com/4139732/ 
o 未 制作 PDF/epub/mobi 版 本 ， 有 兴趣 的 读者 可 以 下 载 源码 自行 制作 


请 下 载 HTML 翻译 版 的 打包 文件 ， 解 压缩 后 在 本 机 阅读 


由 于 您 可 以 获取 翻译 源码 ， 鉴 于 版 权 原 因 请 不 要 在 公 网 上 直接 发 布 任何 
HTML/PDF/epub/mobi 版 本 的 中 文 翻译 


TRADE 


您 正 阅读 的 是 《Puppet 2.7 Cookbook》 的 简体 中 文 翻译 版 。 


项 目 缘起 
Puppet 是 一 款 优秀 的 自动 化 系统 管理 部 署 工具 。 


去 年 底 曾经 在 网 络 上 看 到 过 网 友 Sky AT (Puppet 2.7 Cookbook》 征 求 意见 版 
(RAW) 的 发 布 在 BLOG 上 的 翻译 。 


e 网 友 Sky 的 微 博 : http://weibo.com/u/1938768691 
e BLOG 发 布 http:/www.mysqlops.com/category/puppet 
基于 BLOG 的 翻译 不 利于 协同 翻译 、 纠 错 以 及 追踪 原 书 的 版 本 更 新 。 


今年 年 初 我 看 到 了 ER 所 著 的 开源 书 GotGitHub ， 觉 得 基于 github 写作 开放 的 技 
术 图 书 或 协同 翻译 图 书 是 个 不 错 的 选择 。 


今年 二 月 无 意 中 从 电驴 下 载 了 (Puppet 2.7 Cookbook) 的 正式 版 ， 遂 决意 以 更 利 
于 协同 工作 的 方式 重新 翻译 此 书 。 并 为 Puppet 中 文 社区 或 其 他 社区 翻译 技术 图 书 


提供 一 个 案例 。 


翻译 方法 
1. 为 了 协同 翻译 或 协同 纠 错 ， 应 将 图 书 原稿 纳入 版 本 控制 系统 ， 我 选择 使 用 
github 。 Æ X Github 的 使 用 ， 请 参考 A 所 闭 的 开源 书 GotGitHub e 


2. 显然 将 PDF/Word 文档 纳入 VCS 的 意义 不 大 ， 为 了 便于 协同 工作 ， 应 选用 一 
种 标记 语言 书写 图 书 或 译作 的 源码 ， 之 后 生成 HTML/PDF 文档 。 我 选择 使 用 
AsciiDoc ， 它 是 一 款 优秀 的 基于 标记 语言 的 技术 文档 写作 和 翻译 工具 。 为 
此 ， 我 首先 将 原 书 的 PDF 文档 手工 转化 成 了 AsciiDoc 格式 。 

3. AsciiDoc 支持 GNU source-highlight fe Pygments 两 种 代码 加 亮 系统 。 由 于 
当前 只 有 Pygments 支持 *.pp 代码 加 亮 ， 所 以 我 选择 使 用 基于 Pygments 的 
puppet-pygments-lexer 对 翻译 版 进行 代码 加 亮 处 理 。 


4. 作为 一 个 翻译 图 书 案 例 ， 本 书 所 有 的 翻译 工作 都 是 我 一 个 人 做 的 。 若 要 多 人 协 
同 工 作 可 以 采用 如 下 方式 : 


o BLM Ms > TAs Github 中 图 书 翻 译 项 目 仓库 的 Wiki， 进 行 翻译 
章节 的 认领 和 进度 规划 等 工作 。 


m 参考 : 使 用 Github Wiki 
= 参考 Dive into Python 翻译 项 目 的 Wiki 组 织 形式 


o 翻译 成 员 可 以 在 Github 上 克隆 核心 成 员 的 仓库 ， 在 自己 的 仓库 中 翻译 ， 
之 后 提交 到 核心 成 员 的 仓库 。 


m 参考 Fork + Pull 模 式 
o 审 校 者 也 可 用 上 述 方式 提交 修改 ， 还 可 以 用 缺陷 跟踪 方式 提交 修改 意见 


5. 使 用 asciidoc 或 a2x 生成 HTML/PDF/epub 等 版 本 。 
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e Git 
oO 
[9] 


o 


Oo 


o 


Git and Github Useful Links 


git - 简易 指南 

Why Git is Better than X 

Git Magic 

git ready 

Git: Everyday Stuff 

Everyday GIT With 20 Commands Or So 
Pro Git 

参与 Git 的 中 文本 地 化 


e Github 


o 
o 


o 


翻译 方法 


GotGitHub 
如 何 高 效 利 用 GitHub 
The GitHub Help 
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社区 链接 
e Puppet 中 文 Wiki 
e Puppet 中 文 技 术 社 区 


社区 链接 


12 


社区 建议 
1. 关于 Puppet 文档 的 协同 翻译 建议 


ij， 直接 使 用 Github Wiki 协同 翻译 (Puppet 文档 是 Markdown 格式 的 ， 
Github Wiki 默认 支持 Markdown 格式 ) 


i 使 用 Jekyll 创建 基于 github 的 静态 站 点 生成 系统 协同 翻译 Puppet 文档 
(参见 : 使 用 Jekyll 维护 网 站 ) 


2. 关于 Puppet 图 书 的 协同 翻译 建议 
i 建议 以 本 书 的 翻译 方式 组 织 《Pro Puppet) 一 书 的 中 文 翻译 


建议 Puppet 中 文 Wiki 从 DokuWiki 转向 Github+Jekyll 。 


贡献 者 
e me 
e you 
e him 


e her 
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way they were supposed to, which was virtually all the time. 


IT 运 维 的 一 场 革命 来 了 。 配 置 管理 工具 可 以 在 几 秒 钟 内 建立 服务 器 并 自动 化 管理 你 
的 整个 网 络 。 要 充分 利用 云 计 算 的 力量 ， 建 立 可 靠 、 可 扩展 、 安 全 、 高 性 能 的 系 
统 ， 像 Puppet 这 样 的 工具 是 必 不 可 少 的 ， 


本 书 为 你 带 来 基础 知识 的 基础 上 ， 探 讨 了 Puppet 的 强大 功能 ， 向 你 展示 了 如 何 解 
决 各 种 现实 世界 问题 和 应 用 的 详细 步 又。 每 一 个 步骤 ， 向 你 展示 了 需要 键入 什么 合 
令 ， 其 中 还 包括 每 个 处 方 的 完整 代码 样本 。 


本 书 从 Puppet 的 基础 知识 入 手 ， 为 读者 介绍 了 Puppet 最 新 最 先进 的 功能 ， 使 读 
者 对 Puppet 有 更 深入 的 理解 。 同 时 介绍 了 Puppet 社区 的 最 佳 实践 、 如 何 书写 优 
质 的 配置 清单 代码 、 扩 展 Puppet 的 部 署 规模 、 提 高 Puppet 性 能 、 以 及 如 何 为 
Puppet 添加 自 定 义 的 提供 者 和 资源 等 内 容 。 


本 书包 含 了 一 些 来 自生 产 系 统 的 实例 ， 这 些 实例 介绍 了 如 今世 界 大 量 Puppet 安装 
正在 使 用 的 技术 ， 包括 一 个 分 布 式 的 Puppet 架构 和 一 个 使 用 Apache 和 
Passenger 实现 的 高 性 能 Puppetmaster 解决 方案 。 通 过 这 个 实践 指南 探索 世界 上 
最 流行 的 配置 管理 系统 (Puppet) 的 强大 功能 。 


本 书 内 容 


Chapter 1, Puppet Infrastructure introduces some key techniques for managing 
your Puppet server and manifests, including version control, automated 
deployment, file serving, pre-signing and autosigning certificates, scaling with 
Passenger, and a distributed decentralized Puppet architecture using Git. 


Chapter 2, Monitoring, Reporting, and Troubleshooting covers ways that Puppet 
can report information about what it’s doing, and the status of your systems. This 
includes graphical and e-mail reports, log and debug messages, dependency 
graphing, testing and dry-running your manifests, using tags, run stages, and 
environments, and a guide to some of Puppet’s more common error messages. 


Chapter 3, Puppet Language and Style will show you examples of good 
programming style in Puppet and language constructs that can help you keep 
your code concise and readable, including conditionals, selectors, case 
statements, arrays, and regular expressions. 


Chapter 4, Writing Better Manifests takes you through structuring your Puppet 
manifests using node and class inheritance, resource dependencies, and 
parameterized classes. You'll also see how to get data in and out of Puppet from 
the environment using CSV files and shell scripts. 


Chapter 5, Working with Files and Packages covers powerful techniques for 
managing config files, including ERB templates, generating files from snippets, 
and using the Augeas tool. You'll also see how to use Puppet to install packages 
from APT repositories, and how to set up your own APT and Gem repositories. 


Chapter 6, Users and Virtual Resources explains how virtual resources can help 
you manage different combinations of users and packages on different machines, 
and shows you how to use Puppet's resource scheduling and auditing features. 


Chapter 7, Applications focuses on some specific applications that you may need 
to manage with Puppet, including complete recipes for Apache and Nginx, 
MySQL, Drupal, and Rails. 


Chapter 8, Servers and Cloud Infrastructure extends the power of Puppet to 
managing virtual machines, both in the cloud and on your desktop, with recipes for 
Vagrant and EC2 instances. It also shows you how to set up a Nagios monitoring 
server, load balancing with HAProxy, firewalls with iptables, network filesystems 
with NFS, and high-availability services with Heartbeat. 


Chapter 9, External Tools and the Puppet Ecosystem looks at the tools that have 
grown up around Puppet and help you integrate it with the rest of your network, 
including Puppet Dashboard, Foreman, and MCollective. It also introduces you to 
some advanced topics including writing your own resource types, providers, and 
external node classifiers. 


阅读 前 提 

要 运行 这 本 书 中 的 例子 ， 你 需要 一 台 安 装 了 Ubuntu Linux 10.04 的 电脑 ， 安 装 
Puppet 并 与 互联 网 连接 。 

虽然 不 是 绝对 必要 的 ， 但 我 还 是 建议 准备 一 台 咖 啡 机 或 其 他 形式 的 含 咖 啡 因 的 饮料 
PU ° 


适用 读者 


本 书 假定 你 已 经 安装 过 Puppet， 或 许 已 经 写 过 一 些 基 本 的 配置 清单 或 适 于 发 布 的 
模块 。 同时 需要 一 些 Linux 系统 的 管理 经 验 ， 包 括 熟 悉 的 命令 行 、 文 件 系统 和 文本 
编辑 等 。 但 没有 编程 经 验 的 要 求 。 


格式 约定 
在 这 本 书 中 ， 你 会 发 现 一 些 不 同 的 文本 样式 以 区 分 不 同 种 类 的 信息 。 这 里 是 一 些 样 
式 的 例子 及 其 含义 。 


正文 中 的 代码 样式 举例 ;“ 你 需要 一 台 Puppetmaster 以 及 /etc/puppet 目录 下 的 一 
些 已 存在 的 配置 清单 。” 


一 个 代码 块 的 样式 举例 : 


#!/bin/sh 


syntax_errors=0 
error_msg=$(mktemp /tmp/error msg.XXXXXX) 


if git rev-parse --quiet --verify HEAD » /dev/null 
then 

against-HEAD 

fi 


一 个 命令 行 输入 或 输出 的 样式 举例 : 


# puppet parser validate/etc/puppet/manifests/site.pp 
err: Could not parse for environment production: Syntax error at er 
of file at /etc/puppet/manifests/site.pp:3 


E = 








新 术语 和 重要 文字 以 粗 体 显示 。 你 在 屏幕 上 看 到 的 文字 ， 例 如 在 菜单 或 对 话 框 中 出 
现 的 文字 样式 举例 :“ 单 击 Next 按钮 进入 下 一 个 屏幕 "。 


技巧 和 窍门 的 样式 。 


读者 反馈 


Feedback from our readers is always welcome. Let us know what you think about 
this book? 一 ?what you liked or may have disliked. Reader feedback is important 
for us to develop titles that you really get the most out of. 


To send us general feedback, simply send an e-mail to feedback@packtpub.com, 
and mention the book title via the subject of your message. 


If there is a book that you need and would like to see us publish, please send us a 
note in the SUGGEST A TITLE form on www.packtpub.com or e-mail 
suggest@packtpub.com. 


If there is a topic that you have expertise in and you are interested in either writing 
or contributing to a book, see our author guide on www.packtpub.com/authors. 


客户 支持 


Now that you are the proud owner of a Packt book, we have a number of things to 
help you to get the most from your purchase. 


FR EB RAG 


You can download the example code files for all Packt books you have purchased 
from your account at hittp://www.PacktPub.com. If you purchased this book 
elsewhere, you can visit http://www.PacktPub.com/support and register to have 
the files e-mailed directly to you. 


勘误 表 


Although we have taken every care to ensure the accuracy of our content， 
mistakes do happen. If you find a mistake in one of our books?—?maybe a 
mistake in the text or the code? 一 ?we would be grateful if you would report this to 
us. By doing so, you can save other readers from frustration and help us improve 
subsequent versions of this book. If you find any errata, please report them by 
visiting http://www.packtpub.com/support, selecting your book, clicking on the 
errata submission form link, and entering the details of your errata. Once your 
errata are verified, your submission will be accepted and the errata will be 
uploaded on our website, or added to any list of existing errata, under the Errata 
section of that title. Any existing errata can be viewed by selecting your title from 
http://www.packtpub.com/support. 


Puppet 基础 设施 

Computers in the future may have as few as 1,000 vacuum tubes and weigh 

only 1.5 tons. 

— Popular Mechanics (1949) 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 

e 使 用 版 本 控制 

e 使 用 提交 钓 子 

e 使 用 Rake 部 署 变更 

e 配置 Puppet 的 文件 服务 器 

e 从 cron 运行 Puppet 

e 使 用 自动 签名 

e 预 签 名 证 书 

e 从 Puppet 的 filebucket 检索 文件 

e 使 用 Passenger 扩展 Puppet 的 部 署 规模 

e 创建 去 中 心 化 的 分 布 式 Puppet 架构 
本 书 中 的 一 些 处 方 体现 了 Puppet 社区 约定 的 最 佳 实践 。 其 他 的 一 些 处 方 是 一 些 技 
巧 和 窍门 ， 这 些 技巧 使 你 使 用 Puppet 工作 变 得 更 容易 ， 或 向 你 介绍 一 些 先前 还 不 
知道 的 功能 。 其 中 的 一 些 处 方 仅 仅 是 轻 量 级 的 捷径 方法 ， 我 不 建议 你 将 其 作为 生产 
环境 的 标准 操作 过 程 ， 但 在 紧急 情况 下 可 能 还 是 有 用 的 。 最 后 ， 这 里 还 提供 了 一 
些 实验 性 的 处 方 ， 你 可 能 想 尝 试 一 下 ， 但 这 些 处 方 仅 适用 于 大 型 基础 设施 或 其 他 不 
寻常 的 场合 。 
我 希望 你 通过 阅读 和 学 习 这 里 提供 的 处 方 ， 能 获得 有 关 Puppet 如 何 工作 以 及 你 该 
如 何 使 用 Puppet 的 更 深入 、 更 广泛 的 理解 ， 从 而 帮助 你 建立 更 完善 的 基础 设施 。 
只 有 你 自己 才能 决定 一 个 特定 的 处 方 对 你 或 你 的 组 织 是 否 适 用 ， 但 我 希望 这 里 提供 


的 处 方 能 激励 你 进行 实验 ， 找 出 更 多 更 重要 的 处 方 ? 一 ?从 中 获得 使 用 Puppet 的 乐 
AE! 


纵 观 这 本 书 的 所 有 例子 ， 你 会 看 到 大 多 数 的 命令 以 root 用 户 运 行 。 如 果 你 更 
愿意 使 用 一 个 普通 用 户 账 号 和 sudo 管理 系统 ， 请 使 用 这 种 方式 替代 root AP 
的 操作 。 


因为 不 同 Linux 发 行 版 (例如 : Ubuntu ` Red Hat» CentOS) 在 具体 细节 上 会 有 不 
同 ， 比 如 : 软件 包 名 、 配 置 文件 的 路 径 ， 等 等 。 为 了 节省 篇 幅 和 提高 清晰 度 的 原 

， 我 决定 为 本 书 挑选 一 种 发 行 版 (Ubuntu 10.04 Lucid) 并 坚持 使 用 它 。 然而 ， 

Puppet 几乎 可 以 在 所 有 Linux 发 行 版 上 运行 ， 所 以 在 你 偏爱 的 操作 系统 和 发 行 版 上 
应 该 很 少 遇 到 麻烦 ， 仅 需要 对 处 方 做 适当 调整 即 可 。 


在 这 本 书写 作 时 ，Puppet 2.7 是 最 新 的 稳定 版 本 ， 因 此 我 选择 了 它 作为 本 书 使 用 的 
Puppet 的 参考 版 本 。 然而 ，Puppet 命令 的 语法 每 隔 一 段 时 间 可 能 就 会 改变 ， 所 

以 要 注意 ， 旧 版 本 的 Puppet 仍然 是 非常 有 用 的 ， 旧版 本 的 Puppet 可 能 不 支持 这 
本 书 中 所 描述 的 所 有 功能 和 语法 。 


使 用 版 本 控制 


Unix was not designed to stop you from doing stupid things, because that 
would also stop you from doing clever things. 


— Doug Gwyn 


你 曾经 遇 到 过 误 删 除了 某 些 文件 而 又 希望 恢复 的 情形 吧 ? 本 书 中 提 及 的 最 重要 的 技 
巧 就 是 将 Puppet 的 配置 清单 (manifests) 纳入 像 Git 或 Subversion 这 样 的 版 本 
控制 系统 (Version Control System > VCS) 。 直接 在 Puppetmaster 上 编辑 配 
置 清单 并 非 明 智之 举 ， 因 为 在 你 还 没 确信 应 用 这 些 更 改 之 前 可 能 已 经 被 应 用 。 
Puppet 会 自动 检测 配置 清单 的 变化 ， 因 此 可 能 会 将 配置 清单 的 半成品 应 用 到 客户 
端 。 这 可 是 个 令 人 讨厌 的 结果 。 


取而代之 的 正确 做 法 是 : 使 用 VCS (我 推荐 Git) 并 从 一 个 版 本 仓库 导出 
(checkout) Puppetmaster 上 所 需 的 /etc/puppet 目录 内 容 。 这 样 做 有 如 下 好 处 : 


e. 你 不 用 担心 Puppet 会 应 用 未 完成 的 配置 清单 
e 你 可 以 撤消 更 改 ， 并 将 配置 清单 恢复 到 以 前 的 任何 版 本 


e 你 可 以 使 用 分 支 (branch) 来 尝试 使 用 新 功能 ， 而 不 会 影响 到 生产 线 上 使 用 的 
+} A (master version) 


e 如 果 多 个 人 需要 修改 配置 清单 ， 他 们 可 以 彼此 独立 的 工作 ， 修 改 他 们 自己 的 工 
作 副 本 ， 之 后 合并 (merge) 他 们 的 改动 


你 可 以 使 用 日 志 来 查看 何 时 ， 何 人 改动 了 什么 


准备 工作 


你 需要 一 个 运行 Puppetmaster 的 主机 并 且 配置 清单 文件 集 存 放 在 letc/puppet A 
录 。 如 果 你 还 没有 准备 好 这 些 ， 可 以 参考 Puppet 文档 
(http://docs.puppetlabs.com/) : 如 何 安装 

Puppet (http://docs.puppetlabs.com/guides/installation.html) 以 及 如 何 建 立 自己 
的 第 一 个 配置 清单 (http://docs.puppetlabs.com/guides/setting_up.html) ° 


然后 将 你 的 配置 清单 纳入 版 本 控制 ， 可 以 从 Pupppetmaster 上 的 /etc/puppet 目录 
导入 到 版 本 控制 系统 中 , 并 使 用 它 作为 工作 副本 。 在 本 例 中 ， 我 们 将 使 用 一 个 
GitHub 账号 存储 Puppet 的 所 有 配置 。 

你 需要 一 个 GitHub 账号 (可 以 免费 注册 ) 和 并 创建 一 个 仓库 。 跟 随 
www.github.com 的 指示 去 创建 一 个 吧 。 


= 译 者 注 


可 以 参考 BE 撰写 的 GotGitHub 学 习 GitHub 的 使 用 。 


你 可 以 使 用 你 的 账号 从 http://www.PacktPub.com 下 载 你 购买 的 Packt 出 版 的 
所 有 书籍 的 案例 代码 文件 。 如 果 你 从 其 他 地 方 购 买 了 本 书 ， 你 可 以 访问 


http://www.PacktPub.com/support ， 注 册 并 直接 从 e-mail 获得 案例 代码 文 
件 。 


1. 将 Puppetmaster 上 的 /etc/puppet 目录 纳入 一 个 Git 仓库 ， 执 行 如 下 命令 : 


root@cookbook:/etc/puppet# git init 

Initialized empty Git repository in /etc/puppet/.git/ 
root@cookbook:/etc/puppet# git add manifests/ modules/ 
root@cookbook:/etc/puppet# git commit -m "initial commit" 
[master (root-commit) c7a24cf] initial commit 

59 files changed, 1790 insertions(+), 0 deletions(-) 
create mode 100644 manifests/site.pp 

create mode 100644 manifests/utils.pp 


2. 关联 你 的 GitHub 仓库 并 执行 推送 (push) : 


# git push -u origin master 
Counting objects: 91, done. 
Compressing objects: 100% (69/69), done. 
Writing objects: 100% (91/91), 21.07 KiB, done. 
Total 91 (delta 4), reused 0 (delta 0) 
To git@github.com:bitfield/puppet-demo.git 

* [new branch] master -&gt; master 


分 支 master 设置 为 从 origin 跟踪 远程 分 支 masters ^ 


工作 原理 


你 已 经 在 GitHub 上 创建 了 一 个 “master 仓库 (repository) (通常 简写 为 

repo) ， 它 包含 了 你 的 Puppet 配置 清单 。 你 可 以 在 不 同 的 地 方 导 出 多 个 副本 ， 
提交 变更 之 前 在 这 些 副本 上 工作 。 例如 , 如 果 你 有 一 个 系统 管理 员 的 团队 ， 他 们 每 
个 人 都 可 以 在 他 们 自己 的 本 地 仓库 副本 上 工作 。 


Puppetmaster 上 的 /etc/puppet 目录 仅 是 从 属于 GitHub 仓库 的 另外 一 个 工作 副 
本 。 当 你 决定 要 在 /etc/puppet 的 工作 副本 上 应 用 GitHub 仓库 上 的 变更 时 ， 你 可 
以 更 新 这 个 本 地 副本 ， 从 GitHub 仓库 上 获取 (pull) 最 近 的 变更 。 


更 多 用 法 


既然 已 经 配置 了 版 本 控制 ， 你 就 可 以 使 用 如 下 的 工作 流程 编辑 你 的 Puppet 配置 清 
单 了 : 


1. 使 用 自己 偏爱 的 文本 编辑 器 在 你 自己 的 工作 副本 上 修改 Puppet 配置 清单 。 


例如 : 在 我 的 笔记 本 电脑 上 自己 的 工作 副本 上 添加 新 的 配置 清单 文件 (或 做 一 
些 编辑 工作 ) 


john@laptop:~$ cd puppet-work 
john@laptop:~/puppet-work$ mkdir manifests 
john@laptop:~/puppet-work$ touch manifests/nodes.pp 
john@laptop:~/puppet-work$ git add manifests/nodes.pp 


2. 提交 (commit) 变更 并 推送 (push) 变更 至 GitHub 仓库 。 


john@laptop:~/puppet-work$ git commit -m "adding nodes.pp" 
[master 5c7b94c] adding nodes.pp 
© files changed, © insertions(+), © deletions(-) 
create mode 100644 manifests/nodes.pp 
john@laptop:~/puppet-work$ git push 
Counting objects: 7, done. 
Compressing objects: 100% (4/4), done. 
Writing objects: 100% (4/4), 409 bytes, done. 
Total 4 (delta 1), reused 0 (delta 0) 
To git@github.com:bitfield/puppet-demo.git 
c7a24cf..b74d452 master -&gt; master 


3. 使 用 git pull 从 Github 仓库 更 新 Puppetmaster 上 的 工作 副本 。 


root@cookbook:/etc/puppet# git pull 

remote: Counting objects: 5, done. 

remote: Compressing objects: 100% (2/2), done. 

remote: Total 4 (delta 0), reused 0 (delta 0) 

Unpacking objects: 100% (4/4), done. 

From gitQgithub.com:bitfield/puppet-demo.git 
26d668c..5c7b94c master -&gt; origin/master 

Updating 26d668c..5c7b94c 

Fast-forward 

© files changed, © insertions(+), © deletions(-) 

create mode 100644 manifests/nodes.pp 


你 可 以 使 用 像 Rake 这 样 的 工具 实现 这 一 过 程 的 自动 化 。 
参见 本 书 
e 本章 的 使 用 Rake 部 署 变更 一 节 


e 本 章 的 创建 去 中 心 化 的 分 布 式 Puppet 架构 一 节 
e KEN 使 用 提交 钧 子 一 节 


使 用 提交 钧 子 


如 果 我 们 在 提交 配置 清单 之 前 能 够 发 现 其 中 的 语法 错误 将 会 是 个 好 消息 。 检查 
Puppet 配置 清单 的 语法 可 以 使 用 puppet parser validate 命令 : 


# puppet parser validate /etc/puppet/manifests/site.pp 
err: Could not parse for environment production: Syntax error at er 
file at /etc/puppet/manifests/site.pp:3 


«| = 








这 种 语法 检查 是 特别 有 用 的 ， 因 为 配置 清单 中 的 任何 一 个 错误 将 使 运行 Puppet 的 
节点 停止 工作 ， 甚 至 不 会 应 用 配置 清单 中 错误 代码 的 节点 也 会 停止 工作 。 


因此 ， 导 入 (checkin) 一 个 有 错误 的 配置 清单 ， 将 导致 Puppet 应 用 这 些 更 新 到 生 
产 环 境 使 其 停止 运行 ， 直 到 问题 被 发 现 ， 这 可 能 会 产生 严重 的 后 果 。 


避免 错误 发 生 的 最 好 方法 是 在 你 的 版 本 控制 仓库 中 使 用 pre-commit hook 自动 执 
行 语法 检查 。 


操作 步骤 


如 果 你 使 用 的 是 Git 版 本 控制 系统 ， 可 以 添加 一 个 脚本 .git/hooks/pre-commit 用 于 
为 你 提交 的 所 有 配置 清单 文件 执行 语法 检查 。 下面 的 脚本 示例 来 自 Puppet Labs 
wiki: http://projects.puppetlabs.com/projects/puppet/wiki/ ° 


#!/bin/sh 


syntax_errors=0 
error msg-$(mktemp /tmp/error msg.XXXXXX) 


if git rev-parse --quiet --verify HEAD » /dev/null 
then 
against-HEAD 
else 
# Initial commit: diff against an empty tree object 
against-4b825dc642cb6eb9a060e54bf8d69288fbee4904 
fi 


# Get list of new/modified manifest and template files to check (ir 
for indexfile in “git diff-index --diff-filter=AM --name-only --cac 
$against | egrep 'N.(pp|erb)'^ 
do 
# Don't check empty files 
if [ ‘git cat-file -s :0:$indexfile' -gt © | 
then 
case $indexfile in 
*.pp ) 
# Check puppet manifest syntax 


#git cat-file blob :0:$indexfile | puppet \ 

# --color-false --parseonly --ignoreimport > $erro) 
# Updated for 2.7.x 

puppet parser validate $indexfile > $error_msg 


*.erb ) 
# Check ERB template syntax 
# -P : ignore lines which start with "%" 
git cat-file blob :0:$indexfile | erb -P -x -T - |` 
ruby -c 2> $error_msg > /dev/null 
esac 
if [ "$?" -ne © | 
then 
echo -n "$indexfile: " 
cat $error_msg 
syntax_errors= expr $syntax errors + 1^ 
fi 
fi 
done 


rm -f $error_msg 


if [ "$syntax_errors" -ne © ] 
then 
echo "Error: $syntax_errors syntax errors found, aborting commit 
exit 1 





工作 原理 


这 个 提交 钩子 脚本 .git/hooks/pre-commit 会 防止 你 提交 任何 有 语法 错误 的 配置 清单 
文件 : 


# git commit -m "Spot the deliberate mistake" manifests/site.pp 
err: Could not parse for environment production: Syntax error at er 
file; expected '}' at /etc/puppet/manifests/site.pp:3 
manifests/site.pp: Error: 1 syntax errors found, aborting commit. 





更 多 用 法 


你 可 以 在 Puppet Labs wiki: 
http://projects.puppetlabs.com/projects/1/wiki/Puppet_Version_Control 上 找到 有 关 
这 个 脚本 的 更 多 详细 信息 。 


你 也 可 以 使 用 类 似 的 update 钧 子 防 止 有 语法 错误 的 配置 清单 推送 到 
Puppetmaster : 查看 同样 的 wiki 页 面 也 可 以 获得 使 用 update 钧 子 的 详细 信息 。 


Puppet 2.7 Cookbook 中 文 版 


见 本 书 
e 本 章 的 使 用 版 本 控制 一 节 


使 用 提交 钧 子 
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使 用 Rake 部 署 变 

每 个 人 的 生活 都 离 不 开 键 盘 ， 但 我 讨厌 不 必要 的 散打 。 如 果 你 按照 使 用 版 本 控制 
一 节 所 描述 的 工作 流程 工作 ， 可 以 添加 一 些 自动 化 任务 使 这 个 处 理 过 程 更 加 容易 。 
有 许多 工具 可 以 帮助 我 们 在 远程 机 器 上 执行 命令 ， 包 括 

Capistrano (https://github.com/capistrano/capistrano) 和 


Fabric (https://github.com/fabric/fabric) ， 但 在 本 例 中 ， 我 们 将 使 用 
Rake (http://rake.rubyforge.org/) ° 


操作 步骤 


1. 在 你 的 Puppet 配置 清单 工作 副本 的 顶级 目录 下 创建 一 个 名 为 Rakefile 的 文 
件 ， 例 如 : 


john@laptop:~/puppet-work$ vi Rakefile 


文件 内 容 看 上 去 像 这样 : 
PUPPETMASTER = 'cookbook' 
SSH = 'ssh -t -A' 
task :deploy do 
sh "git push" 
sh "#{SSH} #{PUPPETMASTER} 'cd /etc/puppet && sudo git pull 
end 


E — CH 
2. 当 你 在 本 地 副本 上 应 用 Puppet 配置 清单 的 改动 时 ， 可 以 简单 地 运行 命令 : 





$ rake deploy 


3. Rake 会 更 新 远程 Git 仓库 并 刷新 Puppetmaster 的 工作 目录 副本 : 


4. 


$ git push 
Counting objects: 4, done. 
Delta compression using 2 threads. 
Compressing objects: 100% (3/3), done. 
Writing objects: 100% (3/3), 452 bytes, done. 
Total 3 (delta 0), reused 0 (delta 0) 
To ssh:/ /git@cookbook.bitfieldconsulting.com/var/git/cookbook 
561e5a6..a8b8c76 master -&gt; master 
ssh -A -1 root cookbook 'cd /etc/puppet && git pull' 
From ssh://cookbook.bitfieldconsulting.com/var/git/cookbook 
561e5a6..a8b8c76 master -&gt; origin/master 
Updating 561e5a6. .a8b8c76 
Fast- forward 
Rakefile | 6 ++++++ 
1 files changed, 6 insertions(+), © deletions(-) 
create mode 100644 Rakefile 


到 一 


你 还 可 以 添加 一 个 Rake 任务 用 于 在 客户 端 上 运行 Puppet : 


task :apply =&gt; [:deploy] do 
client = ENV['CLIENT'] 
sh "#{SSH} #{client} 'sudo puppet agent --test'" do |ok, 
status | 
puts case status.exitstatus 
when © then "Client is up to date." 
when 1 then "Puppet couldn't compile the manifest." 
when 2 then "Puppet made changes." 
when 4 then "Puppet found errors." 


当 你 要 在 指定 客户 端 上 测试 你 所 做 的 变更 时 ， 可 以 运行 如 下 的 命令 : 


rake CLIENT=cookbook apply 


替换 cookbook 为 你 客户 端的 名 字 ， 或 设置 CLIENT 环境 变量 ， 使 Rake 知道 
你 要 在 哪个 客户 机 上 运行 Puppet 。 


info: Caching catalog for cookbook 

info: Applying configuration version '1292865016' 

info: Creating state file /var/lib/puppet/state/state.yaml 
notice: Finished catalog run in 0.03 seconds 


6. 如 果 你 只 想 查 看 Puppet 将 会 做 些 什么 ， 而 不 是 实际 应 用 这 些 变更 ， 你 可 以 使 
用 --noop 标志 : 


task :noop =&gt; [:deploy] do 

client = ENV['CLIENT'] 

sh "#{SSH} #{client} 'sudo puppet agent --test --noop'" 
end 


7. 现在 你 可 以 运行 : 
$ rake noop 


这 将 会 显示 一 个 变更 预览 。 


= 
Ex 


工作 原理 


一 个 Rakefile 文件 由 若干 任务 组 成 ， 任 务 由 关键 字 task 来 标识 。 任务 定义 了 一 系 
列 的 操作 步 又， 在 本 例 中 ， 使 用 一 系列 的 shell 命令 推送 你 的 配置 清单 到 主 版 本 仓 
库 ， 然 后 更 新 Puppetmaster 上 的 工作 副本 。 


任务 可 以 互相 引用 ， 因 为 一 个 任务 可 能 会 依赖 其 它 任务 。 例 如 ， 在 我 们 的 Rakefile 
中 ，apply 任务 引用 了 deploy 任务 ， 每 当 你 运行 rake apply * Rake 会 先 确保 完成 
deploy 任务 ， 然 后 再 执行 apply 任务 。 
更 多 用 法 
你 可 以 扩展 这 个 Rakefile 实现 更 多 的 自动 化 任务 ， 包 括 在 更 新 Puppet 配置 清单 之 
前 运行 语法 检查 , 甚至 可 以 在 引导 局 动 过 程 中 使 用 Puppet 来 初始 化 你 的 新 机 器 。 
Rake 是 一 个 功能 强大 的 工具 ， 在 使 用 Puppet 管理 大 型 网 络 时 会 为 我 们 提供 很 大 的 
帮助 。 
参见 本 书 

e 本 章 的 使 用 版 本 控制 一 节 

e 本 章 的 创建 去 中 心 化 的 分 布 式 Puppet 架构 一 节 

e KEN 使 用 提交 钧 子 一 节 


配置 Puppet 的 文件 服务 器 


部 署 配置 文件 是 Puppet 最 常见 的 用 途 之 一 。 许 多 服务 都 需要 一 些 配置 文件 ， 你 可 
以 让 Puppet 使 用 file 资源 将 这 些 配置 文件 推送 到 客户 端 ， 如 下 面 的 代码 所 示 : 


file { "/opt/nginx/conf.d/app_production.conf": 
source => "puppet:///modules/app/app_production.conf", 


} 


source 参数 是 这 样 约定 的 : puppet:/// 之 后 的 第 一 部 分 假定 是 一 个 挂 装点 (mount 
point) 名 称 ， 其 余部 份 被 视 为 一 个 文件 路 径 ， 如 下 所 示 : 


puppet:///<mount point>/<path> 


通常 <mount point> 的 值 是 一 个 模块 名 称 ， 如 上 例 所 示 。 在 这 个 例子 中 ，Puppet 
将 在 如 下 的 位 置 查找 文件 : 


manifests/modules/app/files/app_production.conf 


modules 是 Puppet 予以 特别 对 待 的 一 个 挂 装 点 : 它 期 望 接 下 来 的 路 径 组 成 是 一 个 
模块 名 ， 并 在 模块 的 files 目录 下 针对 路 径 的 其 余部 分 寻找 文件 。 


然而 ne dite 建 自 定义 的 挂 装点 ， 你 可 以 为 自 定 义 的 挂 装 点 设置 个 别 的 
访问 控制 ， 并 将 其 映射 到 Puppetmaster 的 不 同文 件 系统 位 置 。 在 本 节 中 ， 我 们 将 
2 建 和 配置 这 些 自 定义 的 挂 载 点 。 


操作 步骤 


1. 在 PuppetMaster 的 fileserver.conf 中 添加 新 的 一 节 ， 将 挂 装 点 的 名 称 用 方 括 
号 括 起 ，path 的 值 就 是 Puppet 将 会 寻找 数据 的 目录 路 径 ， 如 下 所 示 : 


[san] 
path /mnt/san/mydata/puppet 


2. 在 你 的 配置 清单 里 ， 使 用 source 指定 你 的 挂 载 点 名 称 ， 如 下 所 示 : 


source =&gt; "puppet:///san/admin/users.htpasswd", 


Puppet 会 将 其 转换 为 如 下 的 路 径 : 


/mnt/san/mydata/puppet/admin/users.htpasswd 
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的 口令 文件 只 需 部 署 到 web 服务 器 ， 而 其 它 机 器 则 不 需要 。 如 果 有 人 能 够 在 
任何 机 器 上 运行 Puppet， 并 且 有 合法 的 证 书 访问 Puppetmaster ， 那 么 没有 人 
能 阻止 他 像 这 样 执行 下 面 的 配置 清单 : 


file { "/home/cracker/goodstuff/passwords.txt": 
source =&gt; "puppet:///web/passwords.txt", 
} 


他 们 可 以 轻而易举 地 获取 秘密 数据 。 事 实 上 ， 可 以 导出 Puppet 仓库 的 任何 人 
以 及 在 Puppetmaster 上 有 账户 的 任何 人 都 可 以 访问 此 文件 。 为 了 避免 这 种 情 
况 发 生 的 方法 之 一 就 是 将 秘密 数据 放 在 自 定 义 挂 载 点 并 局 用 访问 控制 。 


3. 在 fileserver.conf 中 添加 allow 和 deny 参数 来 定义 你 的 挂 载 点 ， 如 下 所 示 : 
[secret ] 
/data/secret 


allow web.example.com 
deny * 


工作 原理 
在 本 例 中 , 仅 允 许 web.example.com 访问 此 文件 。 默认 的 策略 是 拒绝 所 有 的 访 


问 ， 因 此 deny* 这 行 是 可 选 的 ， 但 它 确实 是 个 好 的 习惯 ， 因 为 看 上 去 更 清晰 。 之 
后 web 服务 器 就 可 以 使 用 file 资源 了 ， 如 下 所 示 : 


file { "/etc/passwords.txt": 
source => "puppet:///secret/passwords.txt", 
} 


如 果 此 配置 清单 是 在 web.example.com 上 执行 ， 将 会 正常 工作 ; 若 在 其 它 客户 端 
上 执行 则 执行 失败 。 
更 多 用 法 


你 也 可 以 将 指定 的 IP 地 址 替换 为 主机 名 ， 也 可 使 用 无 类 型 域 间 路 由 (CIDR) 或 使 用 
通配符 (wildcard) 来 表示 一 组 地 址 ， 如 下 所 示 : 


allow 10.0.55.0/24 
allow 192.168.0.* 


Puppet 2.7 Cookbook 中 文 版 


参见 本 书 
e 第 3 章 的 使 用 模块 一 节 
e 第 6 章 的 使 用 文件 资源 北 归 地 分 发 整个 目录 树 一 节 


e 第 6 章 的 为 文件 资源 指定 多 个 源 Y 
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从 cron 运行 Puppet 


你 的 Puppet 工作 在 休眠 状态 吗 ? 默认 情况 下 ， 当 你 在 客户 端 上 运行 Puppet agent 
时 ， 它 会 以 守护 进程 (后 台 进 程 ) 的 方式 执行 ， 每 隔 30 分 钟 唤醒 一 次 并 检查 配置 清 
单 是 否 有 更 新 并 应 用 这 些 变更 (也 可 以 在 puppet.conf 中 将 splay 选项 的 值 设 为 
true 来 指定 一 个 随机 的 时 间 间 隔 ) 。 如 果 想 要 更 灵活 的 控制 Puppet 的 运行 ， 你 可 
以 安排 cron 任务 来 蔡 代 守护 进程 的 触发 执行 方式 。 


例如 ， 如 果 你 有 很 多 的 Puppet 客户 端 ， 可 能 需要 刻意 地 错开 Puppet 的 运行 时 间 
以 减轻 Puppetmaster 的 负载 压力 。 一 个 简单 的 方法 是 : 将 客户 端 主机 名 的 哈 希 
(HA) 值 作 为 cron 任务 的 分 钟 或 小 时 的 时 间 参 数 。 


操作 步骤 
使 用 Puppet 的 inline template 函数 ， 它 允许 你 执行 Ruby 代码 : 


cron { "run-puppet": 
command => "/usr/sbin/puppet agent --test", 
minute => inline_template("<%= hostname.hash.abs % 60 %>"), 


} 

service { "puppet": 
ensure => stopped, 
enable => false, 


工作 原理 


为 每 个 主机 名 会 生成 一 个 唯一 的 哈 希 值 ， 所 以 每 个 客户 端 将 会 在 一 小 时 的 不 同 分 
钟 数 运行 Puppet。 这 种 散 列 技术 对 于 使 cron 任务 随机 运行 是 相当 有 用 的 ， 因 为 分 
散 了 运行 时 间 ， 改 善 了 互相 和 干扰， 从 而 减轻 了 Puppetmaster 的 负载 压力 。 


更 多 用 法 


你 可 能 会 发 现 ， 随 着 时 间 的 推移 以 守护 进程 方式 运行 的 Puppet 会 占用 更 多 的 内 

存 ， 或 者 偶尔 Puppet 4 Puppetmaster 的 通信 处 于 停滞 状态 (stuck state) 。 以 
cron 方式 运行 Puppet 会 解决 这 些 问 题 。 

参考 Puppet Labs 的 Wiki 页 面 
http://projects.puppetlabs.com/projects/puppet/wiki/Cron Patterns 获得 更 多 信息 。 


触发 Puppet 的 运行 还 有 其 他 方式 ， 包 括 MCollective 工具 ， 我 们 将 在 这 本 书 的 后 
续 章 节 中 做 详细 介绍 。 


参见 本 书 


Puppet 2.7 Cookbook 中 文 版 


e 第 6 章 的 有效 地 分 发 cron 任务 一 节 
e 第 3 章 的 使 用 谋 入 式 Ruby 代码 一 节 
e 第 9 章 的 使 用 MCollective 一 节 
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使 用 自动 签名 
在 密码 学 中 ， 跟 生活 一 样 ， 在 你 签名 时 必须 小 心 惯 重 。 一 般 地 ， 当 你 要 为 
Puppetmaster 介绍 一 个 新 的 客户 端 加 入 时 ， 需 要 先 在 客户 端 上 生成 一 个 证 书 请 求 


(certificate request) ， 然 后 到 Puppetmaster 上 签署 这 个 证 书 请 求 。 然 而， 你 可 
以 使 用 自动 签名 (autosigning) 跳 过 这 一 步骤 。 


操作 步骤 
在 Puppetmaster 上 创建 文件 /etc/puppet/autosign.conf * & 249 F3: 


*.example.com 


工作 原理 


Puppet 会 检查 所 有 的 证 书 请 求 是 否 匹配 autosign.conf 中 任何 一 行 。 任何 能 匹配 客 
户 端 主机 名 *.example.com 的 证 书 请 求 ，Puppetmaster 都 会 为 其 自动 签名 。 


® 


这 里 存在 一 个 潜在 的 安全 问题 ， 因 为 这 相当 于 Puppetmaster 信任 了 任何 可 以 

连接 到 它 的 客户 端 ( 只 要 主机 名 匹配 ) 。 基 于 这 种 原因 ， 不 推荐 你 使 用 自动 签 
A o 如 果 你 确信 要 使 用 自动 签名 ， 请 确保 Puppetmaster 被 防火 墙 保护 ， 且 只 
允许 信任 的 客户 端 或 者 IP 地 址 段 连接 Puppetmaster。 更 安全 的 做 法 是 使 用 预 
签名 (pre-signing) 。 


参见 本 书 


e 本 章 的 预 签名 证 书 一 节 


预 签 名 人 证书 
因为 存在 安全 隐患 ， 如 果 你 能 辅助 签名 过 程 ， 最 好 避免 使 用 自动 签名 。 在 一 般 情况 
E. pes 自动 加 入 大 量 的 客户 端 ， 最 好 在 Puppetmaster 上 预先 生成 证 书 ， 然 


其 作为 构建 过 程 的 一 部 分 推送 给 客户 端 。 你 可 以 使 用 puppet cert --generate 
命令 生成 预 签名 证 书 (pre-signed certificate) 。 


操作 步骤 


1. 使 用 如 下 命令 为 client1.example.com 生成 预 签名 证 书 : 


puppet cert --generate clienti.example.com 


Puppet 现在 将 为 客户 端 client1.example.com 生成 并 签署 客户 端 证 书 。 
2. Maps 人 所 需 的 文件 到 新 的 客户 端 : 包括 客户 端 私 钥 、 客 户 端 证 书 和 CA 证 
书 。 三 个 文件 位 于 : 


/etc/puppet/ssl/private keys/clienti.example.com.pem 
/etc/puppet/ssl/certs/client1.example.com.pem 
/etc/puppet/ssl/certs/ca.pem 


复制 上 上述 三 个 文件 到 客户 端 相应 的 目录 下 ，Puppet 会 自动 进行 身份 验证 从 而 
省 略 证 书 请 求 这 一 步骤 。 值得 注意 的 是 Puppet 的 SSL 证 书 的 位 置 依赖 于 
puppet.conf 中 的 ssldir 设置 。 


参见 本 书 
e 本 章 的 使 用 自 动 签名 一 节 


从 Puppet 的 filebucket 检索 文件 


A Freudian slip is when you say one thing, but mean your mother. 
一 Anon 


我 们 每 个 人 都 会 犯错 误 ， 这 就 是 为 什么 通常 铅笔 上 会 配 有 橡皮 擦 的 原因 。 每 当 
Puppet 客户 端 在 改变 一 个 文件 时 ， 就 会 将 改变 前 的 版 本 做 个 备份 。 如 果 在 Puppet 
客户 端 上 对 一 个 已 经 存在 的 文件 做 修改 ， 不 管 多 小 的 改变 ， 我 们 都 可 以 看 到 这 一 过 


程 : 


# puppet agent --test 

info: Caching catalog for cookbook 

info: Applying configuration version '1293459139' 

--- /etc/sudoers 2010-12-27 07:12:20.421896753 -0700 

+++ /tmp/puppet-file20101227-1927-13hjvy6-O0 2010-12-27 07:13:21.64! 
-0700 

QQ -12,7 +12,7 @@ 


# User alias specification 
-User Alias SYSOPS - john 
*User Alias SYSOPS = john, bob 


info: FileBucket adding /etc/sudoers as {md5} 
c07d0aa2d43d58ea7b5c5307f532a0b1 

info: /Stage[main]/Admin::Sudoers/File[/etc/sudoers]: Filebucketed 
sudoers to puppet with sum c07d0aa2d43d58ea7b5c5307f532a0b1 


notice: /Stage[main]/Admin::Sudoers/File[/etc/sudoers]/content: cor 
changed '{md5}c07d0aa2d43d58ea7b5c5307f532a0b1' to '(md5j0d218c16b« 
312c885884fa947d' 


notice: Finished catalog run in 0.45 seconds 





我 们 感 兴趣 的 是 下 面 这 行 : 


info: /Stage[main]/Admin::Sudoers/File[/etc/sudoers]: Filebucketed 
sudoers to puppet with sum c07d0aa2d43d58ea7b5c5307f532a0b1 





Puppet 会 根据 文件 内 容 创 建 一 个 MD5 哈 希 ， 并 使 用 它 来 创建 一 个 filebucket 路 
42 > filebucket 的 值 是 基于 哈 希 的 前 几 个 字符 的 。filebucket 用 来 保存 Puppet # 
换 下 来 的 任何 文件 副本 ， 它 存放 的 默认 位 置 是 /varllib/puppet/clientbucket : 


# ls /var/lib/puppet/clientbucket/c/0/7/d/0/a/a/2/ 
c07d0aa2d43d58ea7b5c5307f532a0b1 
contents paths 


正如 你 看 到 的 ，|s 命令 列 出 了 文件 名 。 你 在 bucket 的 存放 位 置 会 看 到 两 个 文件 : 
contents fe paths 。 contens 文件 的 内 容 即 为 原始 文件 ，paths 文件 的 内 容 即 为 原 
始 文件 的 路 径 。 


如 果 你 知道 文件 内 容 的 哈 希 值 dod 看 到 nre eam ， 可 以 很 容 多 地 找到 该 文 
件 ; 如 果 你 不 知道 ， 那 么 通过 对 整个 flebucket 创建 一 个 索引 文件 的 表 将 会 非常 有 
用 [*] 

iE 


1. 使 用 如 下 命令 创建 索引 文件 : 


# find /var/lib/puppet/clientbucket -name paths -execdir cat {} 
-execdir pwd \; -execdir date -r {} +"%F %T" \; -exec echo \ 
&gt; bucket.txt 


EE 
2. 在 索引 文件 中 查找 你 要 寻找 的 文件 : 





# cat bucket.txt 

/etc/sudoers 
/var/lib/puppet/clientbucket/c/0/7/d/0/a/a/2/ 
c07d0aa2d43d58ea7b5c5307f532a0b1 

2010-12-27 07:13:21 


/etc/sudoers 
/var/lib/puppet/clientbucket/1/0/9/0/e/2/8/a/1090e28a70ebaae872 
c78894f49eb 

2010-12-27 07:12:20 


[gg —c———— ———— t 





3. 一 旦 你 要 恢复 一 个 已 知 bucket 路 径 的 文件 ， 只 要 复制 该 文件 到 原始 文件 名 即 
可 : 


# cp /var/lib/puppet/clientbucket/1/0/9/0/e/2/8/a/1090e28a70ebe 
72c2ec78894f49eb/contents /etc/sudoers 


T E] 





工作 原理 


上 面 的 find 命令 会 创建 一 份 完整 的 filebucket 文件 列表 清单 ， 显示 原始 文件 的 名 
称 ，bucket 的 路 径 ， 人 (在 上 例 中 你 学 习 到 了 如 何 恢复 文件 到 以 前 版 
A) ， 一 旦 你 知道 bucket 的 路 径 ， 那 么 就 可 以 复制 文件 到 正确 的 位 置 。 


更 多 用 法 


你 风 Puppet 在 原始 目录 下 创建 备份 文件 ， 而 不 是 在 filebucket » 为 了 做 到 这 
一 点 ， 只 需要 在 配置 清单 中 指定 backup 参数 的 值 : 


file { "/etc/sudoers": 
mode => "440", 
source => "puppet:///modules/admin/sudoers", 
backup => ".bak", 


现在 ， 如 果 Puppet # 替换 了 日 文件， 就 会 .bak 的 
备份 文件 。 若 希望 Puppet 对 所 有 的 文件 执行 这 样 的 默认 备份 策略 ， 可 以 在 配置 清 
HP ik Ade T Pul : 


File { 
backup -» ".bak", 
} 


要 完全 禁用 备份 ， 使 用 下 面 的 代码 : 


backup => false, 


使 用 Passenger 扩展 Puppet 的 部 署 规模 


如 果 你 的 Puppet 基础 设施 开始 出 现 依依 呀 呀 的 裂缝 ， 暴 魁 福 首 很 可 能 出 现在 
Puppetmaster 的 Web 服务 器 上 。 Puppet 携带 了 一 个 名 为 Webrick 的 简单 Web 
服务 器 来 处 理 客户 端 与 Puppetmaster 的 连接 。Webrick 确实 不 适合 在 生产 环境 下 
运行 Puppet: 超过 几 个 客户 请 求 处 理 之 后 就 会 使 Puppetmaster -ITIR > F E 
影响 其 性 能 。 


有 时 会 建议 使 用 Mongrel 替换 Webrick， 因 为 Mongrel 比 Webrick 有 少许 的 性 能 
提升 ， 但 不 太 明 显 。 为 了 扩展 Puppetmaster 能 服务 于 数 百 侣 服务 器 ， 首 选 的 方法 
是 切换 到 高 性 能 的 Web 服务 器 ， 如 使 用 包含 Passenger (mod rails) 扩展 模块 
的 Apache。 


Puppet 在 Passenger 下 运行 需要 些 必要 的 配置 ， 你 需要 安装 Apache 和 
Passenger， 并 添加 一 个 合适 的 虚拟 主机 。 下 面 的 示例 是 基于 Ubuntu 10.4 的 。 你 
可 以 在 Puppet Labs 的 站 点 
http://projects.puppetlabs.com/projects/1/wiki/Using_Passenger 上 找到 Red Hat 
Linux、CentOS 以 及 其 它 发 行 版 本 的 对 应 操作 指示 。 


准备 工作 
为 了 方便 配置 ， 需 要 有 你 要 运行 的 Puppet 的 源 代码 包 (tarball) ， 因 为 它 提 供 了 
用 于 配置 Passenger 的 一 些 模板 文件 和 配置 片段 。 例 如 ， 假 如 你 要 运行 Puppet 


2.7.1， 就 要 下 载 这 个 文件 : http://puppetlabs.com/downloads/puppet/puppet- 
2.7.1.tar.gz ° 


若 你 使 用 不 同 的 版 本 ， 请 到 http://puppetlabs.com 下 载 合适 的 版 本 。 下 载 之 后 使 用 
如 下 命令 解 开 源码 包 : 


tar xzf puppet-2.7.1.tar.gz 


ERNE WTR 
1. 安装 Apache 和 Passenger, 及 其 所 依赖 的 软件 包 : 


# apt-get install apache2 libapache2-mod-passenger rails 
librack-ruby libmysql-ruby 
# gem install rack 


2. A Passenger 查找 Puppet 的 配置 创建 必要 的 目录 : 


# mkdir -p /etc/puppet/rack 
# mkdir -p /etc/puppet/rack/public 


这 两 个 目录 的 属 主 为 root 且 权 限 为 0755 ° 


# chown -R root:root /etc/puppet/rack 
# chmod -R 0755 /etc/puppet/rack 


. 创建 文件 config.ru ， 此 文件 告知 Passenger 如 何 启动 Puppet 应 用 程序 。 你 
可 以 使 用 Puppet 发 布 中 提供 的 示例 文件 : 


# cp /tmp/puppet-2.7.1/ext/rack/files/config.ru /etc/puppet/rac 
# chown puppet /etc/puppet/rack/config.ru 


iex EM M MEUSE 
对 于 Puppet 2.7.1, 应 该 包含 如 下 内 容 : 





# a config.ru, for use with every rack-compatible webserver. 
# SSL needs to be handled outside this, though. 


# if puppet is not in your RUBYLIB: 
# $:.unshift('/opt/puppet/1ib' ) 


$0 = "master" 


# if you want debugging: 
# ARGV &lt;&lt; "--debug" 


ARGV &lt;&lt; "--rack" 

require 'puppet/application/master ' 

# we're usually running inside a Rack::Builder.new {} block, 
# therefore we need to call run *here*. 

run Puppet: :Application[:master].run 


4. 你 现在 需要 在 Apache 上 创建 一 个 虚拟 主机 ， 使 其 监听 正确 的 端口 并 向 Puppet 


应 用 程序 发 送 请 求 。 同 样 地 ， 你 可 以 使 用 Puppet 发 布 中 提供 的 示例 文件 : 


# cp /tmp/puppet-2.7.1/ext/rack/files/apache2.conf \ 
/etc/apache2/sites-available/puppetmasterd 
# a2ensite puppetmasterd 


文件 的 内 容 如 下 所 示 : 


# you probably want to tune these settings 
PassengerHighPerformance on 
PassengerMaxPoolSize 12 
PassengerPoollIdleTime 1500 

# PassengerMaxRequests 1000 
PassengerStatThrottleRate 120 
RackAutoDetect Off 

RailsAutoDetect Off 


Listen 8140 


&lt;VirtualHost *:8140&gt; 
SSLEngine on 
SSLProtocol -ALL +SSLV3 +TLSv1 
SSLCipherSuite ALL: !ADH:RC4+RSA:+HIGH:+MEDIUM: -LOW: -SSLv2: -EX 


SSLCertificateFile /etc/puppet/ssl/certs/cookbook. 
bitfieldconsulting.com.pem 

SSLCertificateKeyFile /etc/puppet/ssl/private keys/cookbook. 
bitfieldconsulting.com.pem 

SSLCertificateChainFile /etc/puppet/ssl/ca/ca crt.pem 
SSLCACertificateFile /etc/puppet/ssl/ca/ca crt.pem 

# If Apache complains about invalid signatures on the CRL, yc 
# can try disabling 

# CRL checking by commenting the next line, but this is not 
# recommended. 

SSLCARevocationFile /etc/puppet/ssl/ca/ca crl.pem 
SSLVerifyClient optional 

SSLVerifyDepth 1 

SSLOptions +StdEnvVars 


DocumentRoot /etc/puppet/rack/public/ 
RackBaseURI / 
&lt;Directory /etc/puppet/rack/&gt; 
Options None 
AllowOverride None 
Order allow,deny 
allow from all 
&lt;/Directory&gt; 
&lt;/VirtualHost&gt; 


IE 


. 编辑 这 个 文件 ， 将 SSLCertificateFile 和 SSLCertificateKeyFile 的 值 修 改 为 你 
自己 的 证 书 (最 简单 地 生成 证 书 的 方法 是 你 已 经 运行 Puppet 至 少 一 次 ) 。 


. 你 还 要 在 Apache 中 启用 Passenger 和 mod ssl 模块 : 





# a2enmod passenger ssl 


. 添加 如 下 的 行 到 你 的 /etc/puppet/puppet.conf 文件 : 


ssl client header = SSL CLIENT S DN 
ssl client verify header - SSL CLIENT VERIFY 


8. 停止 正在 运行 的 Puppetmaster ° 
9. 户 动 Apache : 


# /etc/init.d/apache2 restart 


10. 如 果 一 切 工作 正常 ， 你 可 以 像 往 常 一 样 运行 Puppet : 


# puppet agent --test 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1294145142' 

notice: Finished catalog run in 0.25 seconds 


工作 原理 


Puppet 内 置 的 web 服务 器 处 理 速 度 相 当 慢 ， 每 次 只 能 处 理 一 个 请 求 ， 使 用 
Apache 替换 它 之 后 ， 现 在 你 就 可 以 使 用 这 个 高 性 能 多 线程 的 web 服务 器 了 。 在 这 
种 情况 下 ，Puppet 是 一 个 使 用 Rack 框架 (Rack framework)  &4 4X A N&M 42 
序 ， 这 大 大 提高 了 运行 效率 。 你 应 该 会 发 现 ， 使 用 "Apache + Passenger" 的 配置 
能 处 理 更 多 的 客户 端 和 更 频繁 的 Puppet 请 求 ， 并 且 改 善 了 服务 器 内 存 的 占用 ， 使 
用 的 内 存 比 标准 的 Puppetmaster 守护 进程 占用 的 内 存 更 少 。 


更 多 用 法 


下 面 是 一 个 Puppet 配置 清单 的 示例 ， 用 于 为 你 实现 上 面 的 处 理 步骤 (基于 Ubuntu 
系统 ) : 


class puppet::passenger { 
package { [ "apache2-mpm-worker", 
"libapache2-mod-passenger", 
"librack-ruby", 
"libmysql-ruby" ]: 
ensure -» installed, 


j 


service ( "apache2": 
enable -» true, 
ensure -» running, 
require => Package["apache2-mpm-worker" ], 


j 


package ( "rack": 
provider -» gem, 
ensure -» installed, 


j 


file { [ "/etc/puppet/rack", 
"/etc/puppet/rack/public" ]: 
ensure => directory, 
mode => "755", 


} 


file { "/etc/puppet/rack/config.ru": 
source => "puppet:///modules/puppet/config.ru", 
owner => "puppet", 


} 


file { "/etc/apache2/sites-available/puppetmasterd": 
source => "puppet:///modules/puppet/puppetmasterd.conf", 


} 


file { "/etc/apache2/sites-enabled/puppetmasterd": 
ensure => symlink, 
target => "/etc/apache2/sites-available/puppetmasterd", 


} 


exec { "/usr/sbin/a2enmod ssl": 
creates => "/etc/apache2/mods-enabled/ssl.load", 
j 


一 旦 你 以 Passenger 方式 运行 ， 就 可 以 使 用 如 下 命令 重新 启动 Puppetmaster 应 用 
程序 : 


# service apache2 restart 


为 了 监视 Passenger 正在 运行 ， 可 以 检查 名 为 ApplicationPoolServerExecutable 
的 进程 。 


你 也 可 以 用 配置 常规 web 应 用 的 方法 为 Passenger 实例 配置 负载 均衡 。 


更 多 详细 信息 ， 或 者 如 果 你 遇 到 问题 ， 可 以 参考 Puppet-on-Passenger 文档 : 
http://projects.puppetlabs.com/projects/1/wiki/Using_Passenger ° 


e 本 章 的 创建 去 中 心 化 的 分 布 式 Puppet 架构 一 节 


d 


创建 去 中 心 化 的 分 布 式 Puppet 架构 


| have the world’s largest collection of seashells. | keep it scattered around 
the beaches of the world... perhaps you've seen it. 


— Steven Wright 


RERA (尤其 像 Mafia) 在 去 中 心 化 的 分 布 式 架构 环境 下 运行 腿 好 。 使 用 
Puppet 的 一 个 最 常见 的 方法 是 运行 一 个 Puppetmaster 服务 器 ^ Puppet 客户 端 连 
接 这 个 服务 器 并 从 它 获取 配置 清单 。 无 论 如 何 ， 你 仍旧 可 以 使 用 下 面 的 方法 直接 针 
对 配置 清单 运行 puppet m 命令 。 (通常 会 使 用 -v 参数 开启 宛 余 输出 模式 ， 这 
样 就 可 以 看 到 详细 的 执行 过 程 ) 


# puppet apply -v manifest.pp 
info: Applying configuration version '1294313350' 


你 甚至 可 以 直接 在 命令 行 上 运行 配置 清单 的 代码 片断 : 


# puppet apply -e "file { '/tmp/test': ensure => present }" 
notice: /Stage[main]//File[/tmp/test]/ensure: created 


换言之 ， 如 果 能 安排 合适 的 配置 清单 并 分 发 到 客户 端 ， 你 就 可 以 在 Puppet 客户 端 
上 直接 执行 它 ， 而 不 必 使 用 中 心 化 的 Puppetmaster 服务 器 。 这 将 消除 单 台 
Puppetmaster 服务 器 的 性 能 瓶颈 ， 也 消除 了 单 点 故障 。 与 此 同时 ， 也 避免 了 新 增 
客户 端 时 SSL 证 书签 署 以 及 证 书 交换 的 步骤 。 


将 配置 清单 文件 推送 到 客户 端 有 多 种 实现 方法 ， 显然 Git (或 者 其 它 版 本 控 种 

统 ， 如 Mercurial 或 Subversion ) 能 为 你 做 绝 大 部 分 的 工作 。 你 可 以 在 ae 
Puppet 配置 清单 的 本 地 副本 ， 提 交 到 Git 并 将 更 新 推送 到 中 心 仓库 ， 然 后 从 Git 中 
心 仓库 自动 将 配置 清单 分 发 到 客户 机 。 

准备 工作 


如 果 你 的 Puppet 配置 清单 还 没有 纳入 Git， 请 参考 本 章 使 用 版 本 控制 一 节 的 操作 
步骤 。 


1. EPH “1% Alto For xt Puppet 仓库 克隆 一 个 裸 仓 库 〈 裸 仓库 没有 工作 区 > 
只 包含 git 目录 中 的 所 有 内 容 ) : 


# git clone --bare ssh://git@repo.example.com/var/git/puppet 


2. 使 用 如 下 命令 检 出 裸 仓 库 内 容 到 /etc/puppet/ 目录 : 


# git archive --format=tar HEAD | (cd /etc/puppet && tar xf -) 


Kl o g^ | 
3. 使 用 Puppet 命令 执行 site.pp 文件 








# puppet apply -v /etc/puppet/manifests/site.pp 
info: Applying configuration version '1294313353' 


一 旦 完成 上 面 的 工作 ， 下 一 步 就 是 配置 仓库 的 自动 推送 将 变动 推送 到 客户 端 。 
使 用 Git 的 remote 命令 可 以 实现 此 功能 ， 即 配置 本 地 仓库 的 远程 仓库 别名 。 
例如 : 


# git remote add web ssh://git@web1.example.com/etc/puppet 
如 果 你 有 多 个 客户 端 ， 可 以 为 同一 个 远程 别名 添加 多 个 URL: 


# git remote set-url --add webs ssh://gitQweb2.example.com/etc/ 
# git remote set-url --add webs ssh://gitQweb3.example.com/etc/ 


二 Il 
或 者 像 这 样 ， 简 单 编辑 Git 配置 文件 (.git/config) : 





[remote "web" ] 


url = ssh://gitQweb1.example.com/etc/puppet 
url = ssh://gitQweb2.example.com/etc/puppet 
url = ssh://gitQweb3.example.com/etc/puppet 
4. 现在 你 可 以 使 用 如 下 命令 从 Git 中 心 仓库 推送 更 新 到 任意 一 台 (或 一 组 ) 客户 
端 : 


# git push web 


5. 最 后 一 步 ， 每 当 客 户 端 接 收 到 从 Git 中 心 仓库 的 推送 就 应 该 更 新 它 自 己 的 
/etc/puppet 目录 。 你 可 以 使 用 Git 的 postreceive 钧 子 来 实现 此 功能 。 在 你 的 
仓库 中 ， 创 建 一 个 名 为 hooks/post-receive 的 文件 并 为 其 设置 可 执行 权限 

(0755) ， 文 件 内 容 为 : 


#!/bin/sh 
git archive --format=tar HEAD | (cd /etc/puppet && tar xf -) 


工作 原理 


与 连接 Puppetmaster 获取 已 经 编译 好 的 客户 端 配置 清单 不 同 ， 使 用 这 种 方式 每 个 

客户 端 都 要 从 本 地 副本 编译 自己 的 配置 清单 。 每 当 Git 中 心服 务 器 推送 一 次 更 新 
(或 者 从 Git 仓库 checkout 检 出 ) 就 会 重新 编译 一 次 。 这 大 大 高 了 网 络 带 宽 的 利 

用 率 ， 因 为 客户 端 不 必 每 次 运行 时 都 连接 Puppetmaster。 同时 也 消除 了 单 点 故 

障 ， 因 为 客户 端 可 以 从 任何 分 布 式 的 Git 仓库 (这 些 仓库 的 内 容 是 由 Git 中 心 仓库 
自动 推送 的 ) 获得 更 新 。 

使 用 基于 Git 的 去 中 心 化 的 分 布 式 Puppet 架构 为 你 提供 了 一 个 非常 灵活 的 处 理 方 


式 。 你 可 以 使 用 SSH 密 钥 来 配置 访问 控制 ， 按 需要 允许 每 一 个 客户 端 或 一 组 客户 
端的 访问 。 例 如 : 用 于 数据 库 服 务 器 的 配置 清单 仅 允许 数据 库 组 的 机 器 访问 获取 。 


当然 还 需要 一 些 额 外 的 配置 工作 ， 但 对 于 大 多 数 小 型 组 织 是 没有 必要 的 ， 这 种 去 中 
心 化 的 Puppet 部 署 方式 提供 了 额外 的 灵活 性 ， 同 时 也 适用 于 更 为 苛刻 的 权限 控制 
环境 。 


更 多 用 法 


如 果 你 希望 每 次 中 心 仓库 推送 更 新 之 后 Puppet 立即 执行 并 应 用 更 新 ， 可 以 编辑 
post-receive 脚本 来 完成 ， 或 者 执行 你 需要 的 其 它 的 动作 。 另 外， 你 也 可 以 手动 运 


行 Puppet， 还 可 以 用 从 cron 运行 Puppet 一 节 描 述 的 方法 使 用 cron 调度 运行 ， 
但 要 记得 是 运行 puppet apply ， 而 不 是 运行 puppet agent ° 


使 用 基于 Git 的 架构 也 存在 一 些 缺 点 : 不 能 使 用 Puppet 提供 的 高 级 特性 ， 例 如 外 
部 节点 分 类 器 (external node classifier) 以 及 存储 配置 (stored configuration ) 
等 。 不 管 怎 样 ， 当 你 需要 将 Puppet 的 部 署 扩展 到 大 量 节点 时 ， 这 是 一 种 最 简单 的 
实现 方式 。 


你 可 以 在 Stephen Nelson-Smith 的 这 篇 文章 里 找到 更 多 更 详细 的 关于 这 种 架构 的 
讨论 ， 文 草地 址 是 : http://bitfieldconsulting.com/scaling-puppet-with- 
distributedversion-control ° 


参见 本 书 
e 本 章 的 使 用 Passenger 扩展 Puppet 的 部 署 规模 一 节 
e 本 章 的 使 用 版 本 控制 一 节 


监控 、 报 告 和 排 错 


Found problem more than one. However, this does not mean that relevant 
part is thing by mistake. Could be fertilized by special purpose in other 
application program. 


— Error message 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 

e 生成 报告 

e 通过 Email 发 送 包 含 特定 标签 的 日 志 信 息 

e 创建 图 形 化 报告 

e 自动 生成 HTML 文档 

e 绘制 依赖 关系 图 

e 测试 你 的 Puppet 配置 清单 

e 执行 模拟 运行 

o 检测 编译 错误 

e. 理解 Puppet 的 错误 信息 

e 显示 命令 的 输出 结果 

e 输出 调试 信息 

。 检查 配置 设置 

e 使 用 标签 

e 使 用 运行 阶段 

e 使 用 不 同 的 环境 
大 家 都 有 这 样 的 经 验 : 当 看 到 一 些 新 技术 时 会 英名 的 兴 m 和 急 着 赶 回 家 进行 实验 。 
当然 ， 一 旦 你 开始 尝试 使 用 它 ， 马 上 就 会 遇 到 问题 。 怎么 回 事 呢 ? 它 为 什么 不 
pu ue 么 能 看 到 引擎 盖 下 发 生 了 什么 呢 ? AGO e E RENE :并 为 


R? 绍 解决 常见 的 Puppet 问题 的 工具 。 我 们 还 会 看 到 : 如 何 对 你 的 Puppet 基础 
设施 生成 有 用 的 报告 ， 以 及 Puppet 如 何 帮 你 对 整个 网 络 进行 监视 和 故障 排查 。 


生成 报告 
What the world really needs is more love and less paperwork. 


— Pearl Bailey 


KA ARRERA EA EA ^ tORMEP LASSE > BAR 


用 Puppet 的 报告 设施 ， 可 以 为 你 提供 一 些 关 于 正在 发 生 什 么 的 有 价值 的 信息 。 


操作 步骤 


要 启用 报告 ， 只 要 将 如 下 的 行 加 入 客户 端的 puppet.conf 文件 : 


report = true 


工作 原理 
启用 报告 之 后 ，Puppet 将 在 Puppetmaster 上 生成 报告 文件 ， 包 含 如 下 的 数据 : 

e 从 Puppetmaster 获取 配置 所 需要 的 时 间 

e Puppet 的 总 体 运 行 时 间 

e 运行 期 间 的 日 志 消 息 输 出 

。 客户 端 配置 清单 中 的 所 有 资源 列表 

e Puppet 是 否 改变 了 每 个 资源 

e 一 个 资源 是 否 与 配置 清单 不 同步 
默认 情况 下 ， 这 些 报告 存储 在 /var/lib/puppet/reports 目录 下 ， 你 也 可 以 使 用 
reportdir 参数 指定 到 不 同 的 位 置 。 你 可 以 创建 自己 的 脚本 处 理 这 些 报告 (这 些 报告 
都 是 标准 的 YAML 格式 ) ， 或 者 使 用 工具 ， 例 如 Puppet Dashboard 来 获得 您 的 
网 络 图 形 概览 。 
更 多 用 法 
在 下 文中 将 解释 从 Puppet 报告 中 收集 信息 的 几 个 实用 技巧 。 


如 果 你 只 是 想 要 一 个 报告 ， 或 者 你 不 想 让 所 有 客户 端 都 发 送 报告 ， 你 可 以 切换 到 命 
令 行 ， 手 动 执行 带 有 --report 参数 的 命令 : 


# puppet agent --test --report 


你 还 可 以 使 用 如 下 带 有 --summarize 参数 的 命令 看 到 关于 Puppet 的 运行 统计 概要 
I8. 


eu. 


# puppet agent --test --summarize 
info: Retrieving plugin 
info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1306169315' 
notice: Finished catalog run in 0.58 seconds 
Changes: 
Events: 
Resources: 
Total: 7 
Time: 
Config retrieval: 3.65 
Filebucket: 0.00 
Schedule: 0.00 


将 Puppet 的 信息 记 入 系统 日 志 


Puppet 也 可 以 将 日 志 信 息 发 送 到 uppelmaster 的 系统 日 志 (syslog) ， 因 此 你 
可 以 使 用 标准 的 syslog 工具 分 析 这 些 日 志 消 息 。 为 了 实现 这 一 点 ， 你 可 以 在 
Puppetmaster 的 配置 文件 puppet.conf 中 添加 如 下 所 示 的 选项 : 


[master] 
reports = store, log 


默认 的 报告 类 型 是 ue (将 报告 输出 到 /var/lib/puppet/reports) > log 选项 是 告 
诉 Puppet 同时 将 消息 发 送 到 syslog 。 
见 本 书 
e 本 章 的 建 图 形 化 报告 一 个 
e 本 章 的 输 出 调试 信息 一 节 


Ax 


e 第 9 章 的 使 用 Puppet Dashboard — *¥ 


通过 Email 发 送 包含 特定 标签 的 日 志 信 息 


像 大 多 数 系统 管理 员 一 样 ， 如 果 没 有 收 到 足够 的 邮件 ， 你 会 寻找 一 种 方法 生成 邮 
件 。 另 外 一 种 Puppet 报告 形式 被 称 为 tagmail。 这 会 根据 你 设 定 的 e-mail 地 址 将 
日 志 信 息 发 送 到 你 指定 的 邮箱 。 


操作 步骤 


1. 在 puppet.conf 文件 中 为 reports 添加 以 过 号 分 割 的 tagmail 选 


[master ] 
reports = store, tagmail 


2. 在 letc/puppet/tagmail.conf 文件 中 ， 添 加 一 些 标签 (tags) 并 指定 相应 的 e- 
mail 地 址 。 例 如 : 下 面 的 配置 行将 所 有 的 日 志 消 息 发 送 到 
john@bitfieldconsulting.com : 


all: john@example.com 


3. — €. Puppet 运行 ， 你 就 会 收 到 一 份 类 似 如 下 内 容 的 e-mail : 


From: report@cookbook.bitfieldconsulting.com 
Subject: Puppet Report for cookbook.bitfieldconsulting.com 
To: john@example.com 


Mon Jan 17 08:42:30 -0700 2011 //cookbook.bitfieldconsulting.cc 
Puppet (info): Caching catalog for cookbook.bitfieldconsulting. 
Mon Jan 17 08:42:30 -0700 2011 //cookbook.bitfieldconsulting.cc 
Puppet (info): Applying configuration version '1295278949' 


_ eee se See Sl 
工作 原理 





Puppet 在 tagmail.conf 配置 文件 中 查找 每 一 行 配置 ， 匹 配 标签 (tag) 并 将 消息 息 发 
送 到 指定 的 邮箱 。 名 为 all 的 特殊 标签 会 匹配 所 有 的 消息 。 名 为 err 的 标签 会 匹配 
所 有 的 错误 消息 : 


err: john@example.com 


你 可 以 在 tagmail.conf 文件 中 定义 多 个 规则 ，Puppet 会 为 所 有 匹配 的 规则 发 送 邮 
件 。 在 下 面 的 例子 中 ， 错 误 消 息 发 送 到 一 个 邮件 地 址 ， 而 与 Web 服务 器 相关 的 消 
息 发 送 到 另 一 个 邮件 地 址 : 


err: puppetmaster@example.com 
webserver: webteam@example.com 


更 多 用 法 


tagmail 报告 是 一 个 非常 强大 的 特性 ， 你 可 能 需要 在 实践 中 才能 获得 相关 的 体会 。 
下 面 列 出 了 一 些 有 用 的 技巧 。 


什么 是 标签 ? 


在 使 用 标签 一 节 中 将 会 对 标签 做 更 详细 的 解释 ， 但 为 了 能 使 用 标签 的 报告 特性 ， 
现在 只 要 知道 tag 可 以 为 节点 (node) RK (class) 命名 就 足够 了 。 例 如 : 
webserver 标签 匹配 所 有 执行 webserver 类 的 客户 端 。 


你 也 可 以 像 下 面 这 样 使 用 tag 函数 直接 添加 一 个 标签 : 


class exim { 
tag("email") 
service { "exim4": 
ensure => running, 
enable => true, 


Ww 


指定 多 个 标签 或 排除 指定 的 标签 
可 


all, !webserver: puppetmaster@example.com 
发 送 报告 到 多 个 e-mail 地 址 
你 可 以 将 消息 同时 发 送 到 多 个 地 址 ， 用 如 下 的 方式 使 用 过 号 分 割 多 个 e-mail 地 址 : 


err: puppetmaster@example.com, sysadmin@example.com 


A LA 
e 本 章 的 生成 报告 一 节 
e 本 章 的 创建 图 形 化 报告 一 节 
e ASN 使 用 标签 一 节 


创建 图 形 化 报告 

让 我 们 面 对 现 实 ， 老 板 们 总 是 喜欢 看 漂亮 的 图 片 。Puppet 使 用 RRD (Round- 
Robin Database) 图 形 库 生成 适应 生产 的 报告 数据 ， 生 成 图 形 化 的 技术 指标 ， 如 
客户 端的 运行 时 间 等 。 

准备 工作 


你 需要 在 系统 上 安装 RRD 工具 以 及 Ruby 所 需 的 相关 链接 库 。 对 于 Ubuntu 系统 
需要 执行 如 下 命令 : 


# apt-get install rrdtool librrd-ruby 


操作 步骤 
添加 rrdgraph 报告 类 型 到 你 的 puppet.conf 文件 : 


reports = store,rrdgraph 


工作 原理 


每 次 运行 ，Puppet 会 将 数据 记录 到 客户 端的 RRD 目录 (默认 为 
/var/lib/puppet/rrd/<clientname>) 。 它 会 为 事件 (events) 、 资 源 (resources) 
以 及 获取 时 间 (retrieval time) 创建 PNG 格式 的 图 片 ， 当 然 若 你 希望 使 用 第 三 方 
的 RRD 工具 处 理 ， 可 以 使 用 以 rrd 结尾 的 原始 数据 文件 。 


更 多 用 法 
要 获得 关于 图 形 化 报告 的 更 详细 的 信息 ， 你 可 以 使 用 Puppet Dashboard ° 
参见 本 书 

e 第 9 章 的 使 用 Puppet Dashboard 一 节 


Puppet 2.7 Cookbook 中 文 版 


自动 生成 HTML 文档 
An expert is someone who is one page ahead of you in the manual. 
一 David Knight 


像 大 多 数 工程 师 一 样 ， 我 从 来 没有 阅读 过 手册 ， 除 非 或 者 直到 产品 实际 出 现 了 十 万 
火 急 的 情况 。 然 而 ， 随 着 你 的 配置 清单 代码 不 断 增多 且 越 来 越 复杂 ， 使 用 Puppet 
的 自动 文档 工具 puppet doc 为 你 的 节点 (node) fe X (class) 生成 HTML 文档 是 
非常 有 用 的 。 


操作 步骤 


在 你 的 配置 清单 目录 下 运行 如 下 的 puppet doc 命令 


puppet doc --all --outputdir=/var/www/html/puppet --mode rdoc \ 
--manifestdir=/etc/puppet/manifests/ 

















ee 


合 | [© | file://var/www/html/puppet/index.html 
(e; RDoc Documentation 
All Modules 


Site - site 
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puppet In: /etc/puppet/manifests/site.pp 
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puppet::puppet 
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Module 





Nodes ee 
Node sie -:cookbook 





[Validate] 





工作 原理 


puppet doc 在 /var/www/html/puppet 目录 下 生成 结构 化 的 HTML 文档 树 ， 这 与 
RDoc 生成 的 文档 很 类 似 ，RDoc 是 流行 的 Ruby 文档 生成 器 。 这 使 理解 不 同 配置 
清单 代码 之 间 的 相互 关系 便 得 更 容易 ， 因 为 你 可 以 点 击 被 包含 的 类 名 称 便 能 看 到 它 
的 定义 。 


更 多 用 法 
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puppet doc 将 根据 你 当前 的 配置 清单 生成 基本 的 文档 。 然而 ， 你 可 以 在 你 的 配置 
清单 文件 中 使 用 标准 的 RDoc 语法 包含 更 多 的 有 用 信息 。 下 面 是 一 个 在 类 中 添加 一 
些 注释 文档 的 例子 : 


class puppet { 


# This class sets up the Puppet client. 
# 
# ==Actions 
# Install a cron job to run Puppet. 
# 
# ==Requires 
# * Package["puppet" ] 
# 
cron { "run-puppet": 
command => "/usr/sbin/puppet agent --test >/dev/null 2>&1", 
minute => inline_template("<%= hostname.hash.abs % 60 %>"), 
} 
} 


-| II 
你 在 文档 中 为 每 个 类 添加 的 注释 ， 会 显示 在 生成 的 HTML 文件 里 ， 如 图 所 示 : 
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All Modules 


v Q © @ [Ie|fieuvariwww/html/puppetiindex.htm! "| 


[S| RDoc Documentation 





. site 
admin 
puppet 








admin::exim 
admin::sudoers 
puppet 
puppet::puppet 
















an v 
class buppet::puppet 


In: letc/puppet/modules/puppet/manifests/puppet.pp 
Parent: 


Resources 
Cron['run-puppet'] 








Resources 


Cron["run-puppet"] 
command => "/usr/sbin/puppet agent --test >/dev/null 2>&1" 
minute => inline_template("<%= hostname.hash % 60 %>") 









This class sets up the Puppet client. 


Actions 
Install a cron job to run Puppet. 
Requires 


e Package["puppet’] 





[Validate] 
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绘制 依赖 关系 图 


依赖 关系 会 迅速 变 得 复杂 起 来 ， 并 且 很 容易 形成 循环 依赖 (circular 
dependency) ( 即 人 A 依赖 B，B 又 依赖 和) ， 这 将 导致 Puppet 发 生 错 误 并 停止 
工作 。 幸运 的 是 ，Puppet 的 --graph 选项 可 以 很 容易 生成 一 个 资源 之 间 的 依赖 关 
AR ， 它 可 以 帮助 我 们 解决 循环 依赖 的 问题 。 


准备 工作 
使 用 如 下 命令 安装 查看 图 片 文件 所 需 的 graphviz 软件 包 : 


# apt-get install graphviz 


操作 步骤 


1. 创建 /etc/puppet/modules/admin/manifests/ntp.pp 文件 ， 添 加 包含 如 下 循环 依 
赖 的 代码 : 


class admin::ntp { 
package { "ntp": 
ensure =&gt; installed, 
require =&gt; File["/etc/ntp.conf"], 
} 


service { "ntp": 
ensure =&gt; running, 
require =&gt; Package["ntp"], 
} 
file { "/etc/ntp.conf": 
source =&gt; "puppet:///modules/admin/ntp.conf", 
notify =&gt; Service["ntp"], 
require =&gt; Package["ntp"], 
} 


2. 复制 已 存在 的 ntp.conf 文件 到 Puppet : 


# cp /etc/ntp.conf /etc/puppet/modules/admin/files 


3. 在 一 个 节点 上 包含 这 个 类 : 


node cookbook { 
include admin: :ntp 
} 


4. 运行 Puppet : 


# puppet agent --test 
info: Retrieving plugin 
info: Caching catalog for cookbook.bitfieldconsulting.com 


err: Could not apply complete catalog: Found 1 dependency cycle 
(File[/etc/ntp.conf] =&gt; Package[ntp] =&gt; File[/etc/ntp.cor 
try using the '--graph' option and open the '.dot' files in 
OmniGraffle or GraphViz 


notice: Finished catalog run in 0.42 seconds 





5. 使 用 上 面 建议 的 --graph 选项 运行 Puppet : 
# puppet agent --test --graph 
6. 检查 已 经 创建 的 图 片 文件 : 


# ls /var/lib/puppet/state/graphs/ 
expanded relationships.dot relationships.dot resources.dot 


7. 创建 一 个 图 形 化 的 关系 依赖 图 


# dot -Tpng -o relationships.png \ 
/var/lib/puppet/state/graphs/relationships.dot 


8. 使 用 如 下 命令 查看 关系 依赖 图 : 


# eog relationships.png 
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工作 原理 


当 你 运行 puppet --graph (或 者 在 puppet.conf 文件 中 局 用 graph 选项 ) > 
Puppet 会 生成 三 个 DOT 格式 〈 一 种 图 形 语言 ) 的 文件 。 三 个 文件 分 别 是 : 
e resources.dot : 显示 资源 的 类 和 层次 结构 ， 但 没有 依赖 关系 
e relationships.dot : 以 箭头 显示 资源 之 间 的 依赖 关系 ， 如 上 图 所 示 
e expanded relationships.dot : 一 个 更 详细 版 本 的 关系 图 


dot LH (X graphviz 软件 包 的 一 部 分 ) 可 以 将 这 些 文件 转换 为 PNG 格式 进行 查 
an 

在 关系 图 中 ， 你 的 配置 清单 中 的 每 个 资源 显示 为 一 个 气球 ， 用 带 箭 头 的 线 连接 它们 
表示 依赖 关系 。 从 上 面 的 例子 中 我 们 可 以 看 到 ， 在 File["/etc/ntp.conf"] 和 
Package["ntp"] 之 问 存在 循环 依赖 关系 。 


为 了 解决 循环 依赖 问题 ， 你 要 做 的 就 是 删除 一 条 依赖 关系 线 ， 从 而 打破 循环 。 
更 多 用 法 


即使 你 不 用 去 寻找 错误 (bug) ， 资 源 和 其 关系 图 也 非常 有 用 。 如 果 你 为 一 个 非常 
复杂 的 网 络 设 计 类 和 资源 ， 研 究 资 源 关 系 图 可 以 让 你 看 起 来 更 简单 。 同样 ， 当 依赖 
关系 变 得 过 于 复杂 ， 通 过 阅读 配置 清单 难于 理解 时 ， 关 系 图 比 文档 就 显得 更 为 有 

用 。 


测试 你 的 Puppet 配置 清单 
If all else fails, immortality can always be assured by spectacular error. 


— J.K. Galbraith 


你 总 会 遭遇 麻烦 ， 就 像 耻 在 你 的 挡 风 玻璃 上 的 一 只 虫子 。 遗 憾 的 是 像 Nagios De 
标准 的 检测 监视 工具 也 不 能 面面俱到 地 检测 你 要 的 一 切 。 许 乡 技术 指 标 对 于 排 错 是 
很 有 帮助 的 ， 例 如 平均 负载 和 磁盘 占用 ， 我 更 希望 我 的 系统 能 提供 关于 应 用 和 服务 
的 更 高 级 别 的 信息 。 


例如 ， 如 果 你 运行 的 是 一 个 web 应 用 程序 ， 你 不 能 肯定 它 正 监听 80 端口 并 能 返回 
HTTP 200 OK 状态 。 也 许 它 只 是 返回 Apache seer: @ o 


如 果 你 的 web 应 用 程序 是 一 个 在 线 商店 ， 例 如 : 你 可 能 希望 检查 以 下 几 项 : 
e 大 家 能 否 看 到 预期 的 页 面 (例如 : “欢迎 光临 FooStore") ? 

e 用 户 能 否 正 常 登 录 ( 假 定 应 用 程序 支持 session 会 话 ) ? 

e 搜索 茶 种 产品 能 否 返 回 期 待 的 结果 ? 

e 响应 时 间 是 否 令 人 满意 ? 


这 种 监控 (专注 于 应 用 程序 的 行为 ， 而 不 是 对 服务 器 自身 指标 的 度量 ) 经 常 被 称 作 
行为 驱动 的 监控 (behavior-driven monitoring) 。 


与 开发 者 改变 代码 后 经 常 使 用 行为 驱动 的 测试 (behavior-driven tests) 来 校 验 应 
用 程序 是 否 正常 一 样 ， 你 可 以 在 产品 上 线 后 持续 地 使 用 行为 驱动 的 监控 。 


事实 上 ， 感 谢 有 cucumber-nagios 这 样 的 工具 存在 ， 你 可 以 和 开发 人 员 使 用 同样 的 
测试 。Lindsay Holmwood 为 流行 的 Cucumber 7| 试 框架 silat bs 可 以 让 你 运 
行 针 对 Nagios 的 基于 Cucumber 的 测试 ， 这 似乎 是 对 Nagios 进行 评估 的 标准 方 
法 。 


准备 工作 
1. 为 了 安装 cucumber-nagios ， 你 首先 要 安装 依赖 的 包 。 如 果 你 在 用 Ubuntu 或 
Debian ， 可 能 需要 从 源 代码 安装 RubyGems ， 因 为 cucumber-nagios 需要 
RubyGems 1.3.6 或 更 高 的 版 本 。 ° 从 RubyGems 站 点 : 


http://rubygems.org/pages/download 下 载 tarball 。 解压 缩 之 后 运行 ruby 
setup.rb 编译 并 安装 此 软件 包 。 


2. 接 下 来 ， 你 需要 安装 相关 依赖 包 


# apt-get install ruby1.8-dev libxml2-dev 


3. 最 后 ， 使 用 如 下 命令 安装 cucumber-nagios : 


# gem install cucumber-nagios 


操作 步骤 


1. —# RubyGems 和 相关 依赖 安装 完成 后 ， 你 就 可 以 开始 号 Cucumber 测试 
了 。 要 做 到 这 一 点 ， 首 先 使 用 cucumer-nagios-gen 来 帮助 我 们 创建 一 个 项 目 
目录 和 所 需要 的 一 切 : 


# cucumber-nagios-gen project mytest 


Generating with project generator: 
[ADDED] features/steps 
[ADDED] features/support 
[ADDED] .gitignore 
[ADDED] .bzrignore 
[ADDED] lib/generators/feature/%feature_name%. feature 
[ADDED] Gemfile 
[ADDED] bin/cucumber -nagios 
[ADDED] lib/generators/feature/%feature_name%_steps.rb 
[ADDED] README 


你 新 创建 的 cucumber-nagios 项 目 可 以 在 /root/mytest 找到 。 
下 一 步 ， 使 用 如 下 命令 安装 所 需 的 RubyGems : 


bundle install 


你 的 项 目 已 经 作为 一 个 git 仓库 初始 化 了 。 


2. 有 一 个 好 主意 是 在 项 目 目录 里 运行 bundle install ， 因 为 cucumber-nagios 建 
议 你 这 么 做 。 这 样 做 的 话 cucumber-nagios 会 在 项 目 目录 里 安装 所 有 依赖 的 
包 。 然后 你 就 可 以 移动 项 目 目录 到 其 他 任何 一 侣 机器， 不 必 再 安装 依赖 包 就 可 
以 工作 。 


# cd mytest 
# bundle install 


3. 现在 我 们 开始 写 测试 。 下 面 的 例子 用 于 测试 Google 的 主页 : 


# cucumber-nagios-gen feature ww.google.com home 
Generating with feature generator: 

[ADDED] features/www.google.com/home. feature 
[ADDED] features/www.google.com/steps/home_steps.rb 


4. 如 果 你 要 编辑 home.feature 文件 ， 会 发 现 cucumber-nagios 已 经 为 你 生成 了 
一 个 基本 的 测试 : 


Feature: www.google.com 
It should be up 


Scenario: Visiting home page 
When I go to "http://www.google.com" 
Then the request should succeed 


你 可 以 在 项 目下 使 用 如 下 命令 运行 这 个 测试 : 


# cucumber --require features features/www.google.com/home. feat 
Feature: www.google.com 
It should be up 


Scenario: Visiting home page # features/www.google. 
com/home. feature: 4 


When I go to "http://www.google.com" # features/steps/http_ 
steps.rb:11 


Then the request should succeed # features/steps/http 
steps.rb:64 


1 scenario (1 passed) 
2 steps (2 passed) 
Om0.176s 





5. 假设 一 切 正 常 〈 若 不 正常 ， 请 联系 Google) ， 要 对 Nagios 的 检测 使 用 此 特 
性 ， 你 要 做 的 所 有 工作 就 是 使 用 cucumber-nagios 代替 cucumber : 


# bin/cucumber-nagios features/www.google.com/home. feature 
CUCUMBER OK - Critical: 0, Warning: 0, 2 okay | passed=2; 
failed=0; nosteps=0; total=2; time=0 

工作 原理 

任何 脚本 都 可 以 成 为 Nagios 监控 的 一 个 插件 ; 它 只 是 返回 执行 完成 后 退出 的 状态 


(0 为 成 功 ，1 为 警告 ,，2 为 紧急 ) 。cucumber-nagios 封装 Cucumber 来 实现 测 
试 ， 并 且 打 印 出 有 用 信息 ， 而 后 Nagios 将 通过 警告 或 者 web 接口 发 送 报告 。 


更 多 用 法 


就 其 本 身 而 言 ， 并 非 你 在 此 做 的 所 有 工作 都 有 用 。 但 不 管 怎样 ，Cucumber 可 以 让 
你 写 出 十 分 复杂 的 Web 交互 脚本 : 你 可 以 填写 表单 字段 、 搜 索 、 单 击 按 捏 、 在 页 
面 上 匹配 文本 等 等 。 要 监控 你 的 web 应 用 或 服务 的 任何 特性 ， 首 先 弄 清楚 用 户 使 
用 web 浏览 器 的 行为 习惯 ， 然 后 根据 这 些 用 户 行为 ， 使 用 Cucumber 创建 自动 监 

控 脚 本 。 

你 可 以 从 Cucumber 网 站 http://cukes.info/ 上 找到 更 多 关于 cucumber-nagios 的 信 


执行 模拟 运行 
No alarms and no surprises. 


— Radiohead 


我 讨厌 惊喜 。 有 时 你 的 Puppet 配置 清单 没有 像 你 预期 的 那样 执行 ， 或 者 在 你 不 知 
情 的 情况 下 ， 或 许 别人 又 提交 了 改变 。 不 管 哪 种 情况 发 生 ， 在 Puppet 执行 配置 清 
单 之 前 能 精确 地 获知 它 将 要 执行 些 什么 是 非常 必要 的 。 


例如 ， 若 更 新 了 一 个 生产 服务 的 配置 文件 并 重新 启动 该 服务 ， 很 可 能 会 导致 非 计划 
性 的 停机 时 间 。 又 如 ， 有 时 人 为 的 手动 编辑 的 配置 文件 会 被 Puppet FY dri A 
E3 o 


为 了 避免 这 些 问 题 ， 你 可 以 使 用 Puppet 的 模拟 运行 (dry run) 模式 ， 也 称 无 操 
ft (no operation > noop) JE X, > Ri RIE S3 JT ° 


操作 步骤 
使 用 --noop 开关 运行 Puppet : 


# puppet agent --test --noop 

info: Connecting to sqlite3 database: /var/lib/puppet/state/ 
clientconfigs.sqlite3 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1296492323' 

--- /etc/exim4/exim4. conf 2011-01-17 08:13:34.349716342 -0700 
+++ /tmp/puppet-file20110131-20189-127zyug-O 2011-01-31 
09:45:27.792843709 -0700 

QQ -1,4 +1,5 QQ 

THEHHHHHHHEL 

+# allow spammers to use our host as a relay 

THEHHHHHHHEL 

notice: /Stage[main]/Admin: :Exim/File[/etc/exim4/exim4.conf]/conter 
{md5}02798714adc9c7bf82bf18892199971a, should be {md5}6f46256716c0‘ 
ffd6776ed059b (noop) 
info: /Stage[main]/Admin::Exim/File[/etc/exim4/exim4.conf]: Schedu- 
refresh of Service[exim4] 
notice: /Stage[main]/Admin::Exim/Service[exim4]: Would have trigge! 
'refresh' from 1 events 

notice: Finished catalog run in 0.90 seconds 





工作 原理 


在 noop 模式 下 ，Puppet 会 和 常规 运行 模式 一 样 运行 ， 只 是 不 会 对 客户 端 产生 实际 
影响 。 它 会 告知 最 终 将 会 执行 什么 ， 你 可 以 和 你 所 预期 的 进行 对 比 。 如 果 有 任何 不 
同 ， 重 新 检查 配置 清单 或 机 器 的 当前 状态 。 


在 前 面 的 例子 中 ， 注 意 Puppet 警告 我 们 由 于 配置 文件 更 新 ， 它 将 会 重新 启动 exim 
服务 。 这 或 许 是 我 们 所 期 待 的 ， 也 可 能 不 是 ， 但 不 管 怎样 ， 预 先知 道 这 样 的 警告 
是 有 用 的 。 我 制定 了 一 个 流程 规则 ， 当 在 生产 服务 器 上 应 用 任何 重要 更 新 之 前 , A 
在 noop 模式 下 运行 Puppet， 验 证 发 生 的 改变 是 否 与 我 们 预期 一 致 。 


更 多 用 法 


你 也 可 以 使 用 模拟 运行 模式 作为 一 个 简单 的 审计 工具 。 它 会 告诉 你 从 Puppet 最 近 
一 次 应 用 配置 清单 之 后 的 任何 改变 。 一 些 组 织 要 求 所 有 的 配置 变更 都 通过 Puppet 
来 实现 ， 这 是 一 种 对 变更 实施 控制 的 过 程 。 使 用 Puppet 的 模拟 运行 模式 可 以 检测 
到 未 授权 的 更 改 ， 之 后 决定 是 否 合并 应 用 这 些 改变 到 Puppet 的 配置 清单 ， 或 者 撤 
消 改 变 。 


参见 本 书 


。 第 6 章 的 资源 的 审计 一 节 


& | 编译 错误 


My mechanic told me, / couldn't repair your brakes, so | made your horn 
louder. 


— Steven Wright 


通常 ， 当 出 现 问题 时 ， 我 们 会 在 继续 运行 前 先 停止 它 并 修复 错误 。 然 而 ， 当 以 守护 
进程 模式 运行 时 ， > Puppet 会 忽略 配置 清单 的 编译 错误 ， 仅 从 缓存 中 应 用 最 近 一 次 
已 知 可 运行 的 版 本 。 这 个 行为 是 由 usecacheonfailure 配置 设置 的 ， 且 默认 值 为 
true : 


# puppet --genconfig |grep usecacheonfailure 
# usecacheonfailure = true 


值得 注意 的 是 ， 当 你 手动 执行 puppet agent --test 应 用 配置 清单 时 ， 这 种 情况 不 会 
AGE: ea eee 
test 开关 是 如 下 选项 的 缩写 


# puppet agent --onetime --verbose --ignorecache --no-daemonize --! 
A) 
因为 usecacheonfailure f 4 Puppet 以 守护 进程 运行 时 有 效 ， 有 时 你 不 会 注意 到 


一 段 时 间 内 配置 清单 中 的 错误 ， 因 为 Puppet 会 静默 地 运行 日 版 本 的 配置 清单 而 不 
是 显示 出 错 信 息 。 


ERNE HY 


如 果 你 想 改 变 这 一 





一 v 


为 ， 在 puppet.conf 中 做 如 下 设置 : 


— 


usecacheonfailure - false 


工作 原理 


使 用 这 种 设置 后 ，Puppet 将 立即 输出 错误 信息 并 拒绝 运行 ， 直 至 所 有 的 配置 清单 
均 正 确 。 


~ 


理解 Puppet 的 错误 信息 


停 一 停 ! 下 面 是 解决 错误 的 时 间 。Puppet 的 错误 消息 会 令 人 困惑 ， 有 时 不 会 包含 
关于 如 何 解决 问题 的 实质 信息 。 


操作 步骤 


往往 第 一 步 是 根据 错误 消息 的 文本 搜索 网 页 ， 看 看 你 能 找到 的 关于 此 错误 的 解释 ， 
并 根据 这 些 有 益 的 建议 来 修复 错误 。 下 面 是 一 些 常见 的 令 人 费解 的 错误 以 及 尽 可 能 
明确 的 解释 : 


e Could not evaluate: Could not retrieve information from source(s) 


这 意味 着 你 为 source 参数 指定 的 一 个 文件 没有 被 Puppet 发 现 。 请 检查 该 文 
件 是 否 存 在 ， 同 时 检查 资源 路 径 是 否 正 确 。 


change from absent to file failed: Could not set file on ensure: No such file or 
directory 


经 常 导致 这 一 错误 的 原因 是 ，Puppet 试图 在 某 目 录 中 写 文件 ， 而 此 目录 不 存 
在 。 检查 该 目录 是 否 存在 或 者 已 经 在 Puppet 中 被 定义 ， 以 及 该 目录 是 否 为 文 
件 资源 所 要 求 的 目录 (这样 的 目录 总 是 要 首先 创建 的 ) 。 


undefined method ‘closed?’ for nil:NilClass 


这 种 无 用 的 错误 消息 相当 于 “出 错 了 ”。 这 种 错误 往往 可 以 由 许多 不 同 的 原因 引 
起 ， 但 你 可 以 进一步 检查 哪个 资源 、 哪 个 类 或 哪个 模块 所 引起 的 。 一 个 诀窍 
是 添加 --debug 开关 运行 puppet 从 而 获得 更 多 有 用 的 信息 : 


# puppet agent --test --debug 


你 也 可 以 检查 Git 的 历史 日 志 看 看 最 近 配 置 清单 是 否 有 改动 ， 这 可 能 是 另 一 种 
方式 来 确定 是 什么 扰乱 了 Puppet 的 正常 工作 。 


Could not parse for environment --- "--- production": Syntax error at end of file 
at line 1 


这 可 能 是 由 于 命令 行 选项 输入 错误 引起 的 : 例如 ， 你 输入 了 puppet -verbose 
而 不 是 puppet --verbose 。 这 种 错误 一 般 是 很 难 被 发 现 的 。 


Could not request certificate: Retrieved certificate does not match private key; 
please remove certificate from server and regenerate it with the current key 


可 能 是 节点 的 SSL EAB A LAKE > XX, Puppet 的 SSL 目录 已 被 删除 ， 又 
或 者 你 试图 用 与 已 存在 的 节点 主机 名 请 求 新 证 书 。 一 般 而 言 ， 最 简单 的 解决 方 
法 是 先 从 客户 端 删除 Puppet 的 SSL 目录 (通常 是 /etc/puppet/ssl) 之 后 在 
Puppetmaster 上 和 运行 puppet cert --clean «nodename» ° 然后 再 次 运行 
Puppet， 生 成 正确 的 证 书 请 求 。 


e Could not retrieve catalog from remote server wrong header line format 
通常 这 种 错误 是 在 编译 模板 时 出 现 的 。 如 果 在 你 的 ERB 上 有 语法 错误 ， 就 会 
看 到 类 似 的 信息 ， 如 下 面 的 代码 片段 : 


rails env &1t;%!= app env %&gt; 


e Duplicate definition: X is already defined in [file] at line Y; cannot redefine at 
[file] line Y 


这 曾经 引起 我 的 困惑 。Puppet 抱怨 有 重复 的 资源 定义 ， 通 常 如 果 你 有 两 个 同 
A tes aga ed M 但 在 这 种 情况 下 ， 它 指出 
了 相同 的 文件 和 行 号 。 一 个 资源 怎么 可 能 是 其 自身 的 副本 呢 ? 


答案 是 : 若 它 是 define， 就 会 出 现 这 种 情况 的 错误 。 如 果 你 对 一 个 define 创建 
了 两 个 实例 ， WU | 的 所 有 资源 都 包含 在 这 个 define 中 ， 他 们 需要 有 
不 同 的 名 字 。 例 如 


define check_process() { 
exec { "is-process-running?": 
command =&gt; "/bin/ps ax |/bin/grep ${name} &gt;/tmp/ 
pslist.${name}.txt", 
} 


} 


check_process { "exim": } 
check_process { "nagios": } 


| 


# puppet agent --test 

info: Retrieving plugin 

err: Could not retrieve catalog from remote server: Error 400 c 
SERVER: Duplicate definition: Exec[is-process-running?] is alre 
defined in file /etc/puppet/manifests/nodes.pp at line 22; canr 
redefine at /etc/puppet/manifests/nodes.pp:22 on node cookbook. 
bitfieldconsulting.com 

warning: Not using cache on failed catalog 

err: Could not retrieve catalog; skipping run 


EE) 





因为 exec 资源 被 命名 为 is-process-running。 不 管 你 传递 什么 参数 到 
define ， 都 会 保持 这 个 相同 的 名 字 , Puppet 会 拒绝 创建 它 的 两 个 实例 。 解决 方 
法 是 在 每 个 资源 的 标题 部 分 包含 实例 的 名 字 ， 如 下 所 示 : 


exec { "is-process-${name}-running?": 

command =&gt; "/bin/ps ax |/bin/grep ${name} &gt; 
/tmp/pslist.${name}.txt", 
j 


显示 命令 的 输出 结果 
Computer says no. 


— Little Britain 


一 个 问题 的 详细 反馈 会 对 解决 问题 有 帮助 。 当 你 使 用 exec 资源 在 节点 上 执行 命令 
时 ， 并 不 总 能 轻易 地 找 出 其 为 何 没 有 正确 执行 。 如 果 命 令 返 回 一 个 非 零 的 退出 状 
A > Puppet 就 会 返回 类 似 如 下 的 错误 消息 : 


err: /Stage[main]//Node[cookbook]/Exec[this-will-fail]/returns: ch: 
from notrun to © failed: /bin/ls file-that-doesnt-exist returned 2 
instead of one of [0] at /etc/puppet/manifests/nodes.pp:10 


加 村 = 了 一 一 一 一 一 一 一 一 = 


通常 我 们 希望 看 到 执行 失败 时 的 输出 ， 而 不 仅仅 是 一 个 退出 的 状态 码 。 你 可 以 使 用 
logoutput 参数 实现 。 





操作 步骤 
用 logoutput 参数 定义 如 下 的 exec 资源 : 


exec { "this-will-fail": 
command => "/bin/ls file-that-doesnt-exist", 
logoutput -» on failure, 


工作 原理 
现在 ， 如 果 命 令 执行 失败 ，Puppet 同时 会 打印 命令 的 错误 输出 : 


notice: /Stage[main]//Node[cookbook]/Exec[this-will-fail]/returns: 
ls: cannot access file-that-doesnt-exist: No such file or director) 
err: /Stage[main]//Node[cookbook]/Exec[this-will-fail]/returns: ch: 
from notrun to © failed: /bin/ls file-that-doesnt-exist returned 2 
instead of one of [0] at /etc/puppet/manifests/nodes.pp:11 


LEN EE 
更 多 用 法 


你 可 以 使 用 如 下 的 配置 为 所 有 的 exec 资源 设置 打印 错误 输出 的 默认 值 : 





Exec { 
logoutput => on_failure, 


若 不 管 命令 执行 成 功 与 否 ， 你 都 想 看 到 其 输出 ， 需 使 用 如 下 的 配置 : 


logoutput => true, 


输出 调试 信息 

芮 理会 使 你 获得 自由 。 在 调试 问题 时 ， 若 能 输出 配置 清单 某 一 个 点 上 的 信息 将 会 对 
问题 解决 有 很 大 帮助 。 这 是 一 种 很 好 的 报告 问题 的 方式 ， 例 如 ， 如 果 一 个 变量 没有 
定义 或 者 定义 了 一 个 非法 的 值 。 有 了 时， 获知 一 个 特定 的 代码 片段 已 经 被 执行 也 是 很 
有 用 的 。 Puppet 的 notify 资源 可 以 让 你 显示 出 调试 信息 。 


操作 步骤 
在 你 的 配置 清单 中 要 被 调研 的 检查 点 上 定义 notify 资源 : 


notify { "Got this far!": } 


工作 原理 
当 这 个 资源 被 编译 时 ，Puppet 就 会 显示 如 下 的 信息 : 


notice: Got this far! 


更 多 用 法 

如 果 你 有 颗 勇 敢 的 心 ， 喜 欢 尝试 ， 当 然 我 也 希望 你 是 那样 的 一 个 人 ， 你 或 许 会 从 自 
己 的 调试 信息 中 发 现 大 量 的 代码 不 能 工作 的 原因 。 所 以 知道 如 何 获得 更 多 的 

输出 变量 的 值 

你 可 以 在 消息 中 引用 变量 : 


notify { "operatingsystem is $operatingsystem": } 
Puppet 会 在 输出 中 引用 变量 的 值 : 
notice: operatingsystem is Ubuntu 


输出 资源 的 完整 路 径 


对 于 更 高 级 的 调试 ， 你 可 以 使 用 withpath 参数 显示 哪个 类 的 notify 消息 被 执行 
ues 


notify { "operatingsystem is $operatingsystem": 
withpath => true, 
} 


现在 notify 消息 将 显示 类 似 如 下 的 完整 资源 路 径 前 级 : 


notice: /Stage[main]/Nagios::Target/Notify[operatingsystem is Ubuni 
message: operatingsystem is Ubuntu 


«| um 











将 调试 信息 记录 到 Puppetmaster 
有 时 你 仅仅 想 要 在 Puppetmaster 上 记录 日 志 消 息 ， 而 不 在 客户 端 生 成 额外 的 输 
Ho 你 可 以 使 用 notice 函数 实现 : 


notice("I am running on node $fqdn") 


现在 ， 当 你 运行 Puppet 时 ， 就 不 会 在 客户 端 看 到 任何 输出 ， 但 在 Puppetmaster 
上 会 有 一 条 如 下 的 消息 被 记录 到 syslog 系统 日 志 : 


Jan 31 11:51:38 cookbook puppet-master[22640]: (Scope(Node[cookbool 
I am running on node cookbook.bitfieldconsulting.com 


Eee 





检查 配置 设置 
突击 测验 ， 炙 手 可 热 ! 你 已 经 知道 Puppet 的 配置 设置 保存 在 puppet.conf 文件 
里 ， 在 该 文件 里 没有 提 及 的 任何 参数 都 会 使 用 其 默认 值 。 你 怎样 才能 显示 所 有 的 


配置 参数 的 值 呢 (不管 它 是 否 在 puppet.conf 文件 里 有 明确 设置 ) ? 你 可 以 使 用 
Puppet 的 --genconfig 开关 。 


# puppet --genconfig 


工作 原理 


这 将 输出 每 个 配置 参数 以 及 值 (配置 参数 有 许多 ) 。 无 论 如 何 ， 输 出 里 包含 的 解释 
每 个 参数 的 说 明 会 非常 有 用 。 


要 找到 你 感 兴 趣 的 特定 参数 ， 你 可 以 像 这 样 使 用 grep 命令 过 滤 : 


# puppet --genconfig |grep "reportdir =" 
reportdir = /var/lib/puppet/reports 


(Tag) ， 我 们 需要 你 ! 有 时 Puppet 的 一 个 类 需要 知道 另 一 个 类 ， 或 者 至 少 要 
知道 其 是 否 已 存在 。 例如 ， 一 个 管理 防火 墙 的 类 或 许 需 要 知道 一 个 节点 是 否 是 web 
服务 器 。 


Puppet 的 tagged 函数 会 告诉 你 一 个 被 命名 的 类 或 资源 是 否 已 经 存在 于 这 个 节点 的 
目录 中 。 你 还 可 以 对 一 个 节点 或 类 应 用 任何 标签 并 检查 这 些 标签 是 否 存 在 。 


L> 


1. 为 了 帮 你 辨别 你 是 否 运行 在 一 个 指定 的 节点 或 一 组 节点 ， 所 有 节点 会 根据 节 
名 被 自动 打 标 签 ， 并 从 父 v ALD. $ 


node bitfield_server { 
include bitfield 
} 


node cookbook inherits bitfield server { 
if tagged("cookbook") { 
notify { "this will succeed": } 


if tagged("bitfield server") { 
notify { "so will this": } 


2. 为 了 告诉 你 一 个 节 点 是 否 包 含 一 个 指定 的 类 ， 所 有 的 节点 会 用 他 们 包含 的 所 有 
类 其 父 类 的 名 字 自 动 j 打 标 签 : 


include apache: :port8000 


if tagged("apache::port8000") { 
notify { "this will succeed": } 


if tagged("apache") { 
notify { "so will this": } 
} 


3. 如 果 你 想 要 在 一 个 节点 上 设置 指定 的 标签 ， 则 需 使 用 tag 函数 : 


tag("old-slow-server") 
if tagged("old-slow-server") { 
notify ( "this will succeed": ) 


} 
4. 如 果 你 想 要 对 一 个 指定 的 资源 设置 标签 ， 则 需 使 用 tag 元 参数 
(metaparameter ) 


file { "/etc/ssh/sshd_config": 


source -&gt; "puppet:///modules/admin/sshd config", 
notify -&gt; Service["ssh"], 
tag -&gt; "security", 


5b. 你 也 可 以 使 用 标签 来 确定 哪 一 部 分 配置 清 a 。 如果 你 在 Puppet 的 命 
令 行 上 使 用 --tags 选项 ， 仅 仅 被 打上 了 指定 标签 的 类 或 资源 被 应 用 。 pul , 你 
只 想 要 更 新 exim 的 配置 而 不 想 运 行 其 他 部 A ) 配置 清单 ， > 执行 如 下 命 


# puppet agent --test --tags exim 


更 多 用 法 


你 可 以 使 用 标签 创建 一 个 资源 的 集合 。 例如 ， 如 果 某 服务 需要 依赖 一 大 批文 件 片 
ae 你 可 以 使 用 下 面 的 配置 


class firewall::service { 
service { "firewall": 


} 


File «| tag == "firewall-snippet" |» ~> Service["firewall"] 


j 


class myapp { 
file ( "/etc/firewall.d/myapp.conf": 
tag -» "firewall-snippet", 


在 此 ， 我 们 指定 如 果 更 新 了 被 标记 为 firewall-snippet 的 任何 file 资源 ， 就 通知 
firewall 服务 。 我 们 所 要 做 的 全 全 部 工作 就 是 为 特定 的 应 用 程序 或 服务 添加 防火 墙 配 
置 片段 ， 且 应 用 程序 或 服务 是 打 了 firewall-snippet 标签 的 ， 剩 下 的 工作 交 由 
Puppet 完成 。 


虽然 我 们 添加 了 notify => Service["firewall"] 到 每 一 个 资源 片段 ， 但 是 如 果 我 们 定 
义 的 firewall 服务 不 断 变化 ， 就 不 得 不 捕获 这 些 变化 并 据 此 更 新 所 有 的 片段 。 标签 
可 以 让 我 们 把 相应 的 代码 进行 逻辑 封装 ， 这 样 也 使 得 将 来 的 维护 和 重 构 会 更 加 容 


易 。 


使 用 运行 阶段 
What do you get when you play country music backwards? You get your girl 
back, your dog back, your pick-up back, and you stop drinking. 
— Louis Saaberda 
重要 的 是 要 以 正确 的 顺序 做 事情 。 一 个 普遍 的 需求 是 应 用 一 个 特定 的 资源 之 前 必须 
先 应 用 它 所 依赖 的 所 有 资源 〈 例 如 ， 安 装 一 个 软件 包 仓库 ) ， 或 者 之 后 运行 其 他 资 
源 (例如 ， 一 旦 其 所 依赖 的 包 都 已 安装 ， 就 部 署 应 用 程序 ) © Puppet 的 run 
stages 用 于 实现 这 种 功能 。 
操作 步骤 
1. 添加 如 下 代码 到 你 的 配置 清单 : 


class install_repos { 
notify { "This will be done first": } 
} 


class deploy app { 
notify { "This will be done last": } 


} 

stage { "first": before =&gt; Stage["main"] } 
stage { "last": require =&gt; Stage["main"] } 
class { "install_repos": stage =&gt; "first" } 
class { "deploy_app": stage =&gt; "last" } 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1303127505' 

notice: This will be done first 

notice: /Stage[first]/Beginning/Notify[This will be done first] 
message: defined 'message' as 'This will be done first' 

notice: This will be done last 

notice: /Stage[last]/End/Notify[This will be done last]/message 
defined 'message' as 'This will be done last' 

notice: Finished catalog run in 0.59 seconds 


m 至 











工作 原理 


.首先 把 要 做 的 工作 根据 先后 顺序 声明 为 两 个 类 。 


class install_repos { 
notify { "This will be done first": } 


class deploy_app { 
notify { "This will be done last": } 
} 


2. 然后 创建 一 个 名 为 first 的 运行 


5. 


stage { "first": before =&gt; Stage["main"] } 


参数 before 指定 了 first 阶段 必须 在 main 阶段 (默认 阶段 ) 之 前 完成 的 一 切 。 


.接着 创建 一 个 名 为 last 的 运行 阶段 : 


stage { "last": require =&gt; Stage["main"] } 


参数 require 指定 了 在 last 阶段 之 前 main 阶段 必须 完成 的 一 切 。 


. 最 后 ， 我 们 引用 install repos 和 deploy app 两 个 类 ， 指定 他 们 分 别 应 该 是 


first 阶段 和 last 阶段 的 一 部 分 : 


class { "install_repos": stage =&gt; "first" } 
class ( "deploy app": stage -&gt; "last" } 


注意 我 们 使 用 的 是 class 关键 字 ， 而 不 是 include 关键 字 ， 就 像 为 类 传递 参数 
一 样 。 你 能 想象 ， 作 为 一 个 参数 ，stage 可 以 被 传递 到 任何 类 。 
Puppet 会 按照 如 下 的 顺序 应 用 stage : 

i. first 


ii. main 
iii. last 


更 多 用 法 


事实 上 ， 只 要 你 喜欢 你 可 以 定义 许多 运行 阶段 ， 并 为 他 们 安排 执行 顺序 。 这 可 以 简 
化 配置 清单 的 复杂 性 ， 否 则 在 很 大 程度 上 就 会 需要 很 多 资源 之 间 的 明确 的 依赖 关 
系 。 如 果 你 可 以 将 所 有 次 源 分 为 A 和 B 两 组 ，A 组 资源 必须 要 在 B 组 资源 之 前 运行 完 


成 ， 


这 是 使 用 运行 阶段 的 典型 情况 。 


Puppet 2.7 Cookbook 中 文 版 


Gary Larizza 写 了 一 篇 有 用 的 关于 使 用 运行 阶段 的 介绍 文章 ， 并 结合 了 一 些 实际 的 
例子 ， 网 址 为 http://glarizza.posterous.com/using-run-stages-with-puppet ° 
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使 用 不 同 的 环境 


A Zen student went up to a hot dog vendor and said: "Make me one with 
everything". 


— Joke 


环境 背景 很 重要 。 如 果 你 想 对 Puppet 的 配置 清单 在 应 用 到 生产 环境 之 前 先进 行 测 
试 ， 你 可 以 使 用 Puppet 的 environment 特性 来 做 到 。 这 可 以 让 你 根据 环境 应 用 
不 同 的 配置 清单 来 设置 客户 机 。 例 如 ， 你 可 以 定义 如 下 的 环境 : 


e development 
e staging 
e production 
你 可 以 在 puppet.conf 文件 中 设置 环境 。 在 本 例 中 ， 我 们 将 添加 一 个 development 
环境 ， 用 于 指向 一 套 不 同 的 配置 清单 。 
操作 步骤 
在 puppet.conf 文件 中 添加 如 下 行 : 
[development ] 
manifest = /etc/puppet/env/development/manifests/site.pp 
modulepath = /etc/puppet/env/development/modules: /etc/puppet/module 
m — Hm 





工作 原理 


你 可 以 根据 你 的 喜好 将 一 套 与 一 个 环境 相关 的 配置 清单 存在 磁盘 的 任何 位 置 ， 只 要 
设置 manifest 参数 指向 顶级 的 site.pp 文件 即 可 。 在 本 例 中 , 我 们 为 development 
环境 所 编制 的 配置 清单 保存 在 /etc/puppet/env/development 目录 。 类 似 地 ， 你 还 
需要 使 用 modulepath 参数 指定 这 个 环境 需要 使 用 的 模块 目录 。 


在 上 面 的 例子 中 ， 参 数 modulepath 同时 包括 了 /etc/puppet/modules : 所 以 若 
Puppet 在 你 的 development 环境 中 找 不 到 模块 ， 它 也 会 在 默认 的 环境 中 寻找 。 这 
就 意味 着 你 仅 需 要 将 区 别 于 其 他 环境 的 模块 存 入 development 环境 。 


默认 的 环境 是 production， 所 以 如 果 你 没有 指定 Puppet 的 环境 的 话 ， 将 会 使 用 黑 
认 环 境 。 


更 多 用 法 


如 果 你 使 用 Git 这 样 的 版 本 控制 系统 ， 你 的 不 同 环境 可 以 是 Git 的 不 同 分 支 。 一 旦 
你 编制 了 新 模块 并 完成 了 测试 ， 就 可 以 将 其 合并 (merge) 到 用 于 生产 环境 的 Git 
主 分 支 (master branch) 。 你 可 以 在 R.I. Pienaar 的 文章 里 了 解 更 多 使 用 环境 的 
技巧 : http://www.devco.net/archives/2009/10/10/puppet_environments.php ° 


hz 译 者 注 
你 还 可 以 参考 http://puppetlabs.com/blog/git-workflow-and-puppet- 
environments/ 了 解 关于 使 用 Git 和 Puppet 动态 环境 的 技巧 。 

你 可 以 用 多 种 方式 指定 客户 端的 环境 。 一 种 方式 是 在 运行 Puppet 时 使 用 -- 


environment 开关 : 


# puppet agent --test --environment=development 


另 一 种 方式 是 在 客户 端的 puppet.conf 文件 中 使 用 environment 参数 指定 : 


[main] 
environment-development 


如 果 你 使 用 的 是 外 部 节点 分 类 器 脚本 《将 在 本 书 第 9 章 的 描述 ) ， 也 可 以 指定 客户 
端 所 属 的 环境 。 


你 也 可 以 为 每 一 个 环境 指定 不 同 的 fileserver.conf (参考 配置 Puppet 的 文件 服务 
器 一 节 ) 。 为 了 实现 此 功能 ， 需 要 在 Puppetmaster 的 配置 文件 puppet.conf 中 为 
每 个 环境 设置 fleserverconfig 参数 : 


[development ] 
fileserverconfig = /etc/puppet/fileserver.conf.development 


[production] 
fileserverconfig - /etc/puppet/fileserver.conf.production 


更 多 的 信息 ， 请 参考 Puppet Labs 的 “使 用 多 环境 "的 页 面 : 
http://projects.puppetlabs.com/projects/1/wiki/Using_Multiple_Environments ° 


e 第 1 章 的 使 用 版 本 控制 一 节 


。 第 3 章 的 使 用 模块 一 节 


。 第 9 章 的 使 用 外 部 节点 分 关 器 一 节 


Puppet 语言 及 其 写作 风格 
Computer language design is just like a stroll in the park. Jurassic Park, that 
is. 

— Larry Wall 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 
e 使 用 Puppet 社区 规范 
e 使 用 模块 
e 使 用 标准 的 命名 规范 
e (2 iA Ruby 代码 
e 使 用 纯 Ruby 代码 书写 配置 清单 
e 遍历 多 个 项 目 
e 书写 强大 的 条 件 语句 
。 在 if 语 名 中 使 用 正则 表达 式 
e 使 用 选择 器 和 case 语句 
e 检测 字符 串 中 是 否 包含 指定 的 值 
e 使 用 正则 表达 式 替 换 


Elegance is not a dispensable Iuxury, but a factor that decides between 
Success and failure. 


一 Edsger W. Dijkstra 


在 本 章 ， 你 将 学 习 如 何 书 写 优 雅 的 Puppet 配置 清单 。“ 优 雅 " 的 含义 体现 在 几 个 方 
面 : 可 读 性 、 高 效 性 、 书 写 符合 社区 规范 的 代码 。 
我 们 将 会 看 到 ， 如 何 遵 循 社区 规范 将 你 的 代码 组 织 并 构造 成 模块 ， 以 便 他 人 能 很 容 


易 地 阅读 和 维护 你 的 代码 。 我 还 会 向 你 展示 一 些 Puppet 语言 的 强大 功能 ， 使 你 写 
出 更 简洁 而 传神 的 配置 清单 。 


使 用 Puppet 社区 规范 


A society made up of individuals who were all capable of original thought 
would probably be unendurable. 


— H. L. Mencken 
“ 随 大 溜 ” 有 时 会 是 个 好 主意 。 如 果 其 他 人 需要 阅读 或 管理 你 的 配置 清单 RHR 
你 想 要 分 享 代码 到 社区 ， 那 么 尽 可 能 遵循 现 有 的 样式 约定 会 是 个 好 主意 。 


操作 步骤 


1. 将 你 的 资源 名 用 双 引 号 括 起 来 ; 例如 使 用 package { "exim4": 而 不 是 package 
{ exim4: 


当 使 用 一 些 像 连 字 符 和 空格 这 样 的 字符 时 很 容易 引起 Puppet 解析 器 的 混乱 ， 
明智 而 又 安全 的 做 法 是 始终 使 用 双 引 号 将 所 有 的 资源 名 括 起 来 。 
2. 总 是 将 非 Puppet 保留 字 的 参数 值 用 双 引 号 括 起 来 ， 例 如 : 


name =&gt; "Nucky Thompson", 
mode =&gt; "0700", 
owner =&gt; "deploy", 


但 保留 字 不 用 使 用 引号 : 


ensure =&gt; installed, 
enable =&gt; true, 
ensure =&gt; running, 


当 在 字符 串 中 引用 变量 的 值 时 ， 始 终 使 用 大 括号 将 变量 名 括 起 来 。 例 如 : 
source -&gt; "puppet:///modules/webserver/${brand}.conf", 

Pu pet 的 解析 器 不 得 不 猜测 哪些 字符 是 变量 名 的 一 部 分 。 使 用 大 括号 将 

3. 总 是 以 去 号 结束 参数 声明 的 行 ， 即 使 它 是 最 后 一 个 参数 : 


service { "memcached": 
ensure =&gt; running, 
enable =&gt; true, 


Ww 


很 多 时 候 ， 当 你 编辑 文件 时 会 追加 一 个 额外 的 参数 ， 而 忘记 在 原来 最 后 一 行 的 
末尾 添加 必要 的 过 号 | 


4. 当 声 明 仅 有 一 个 参数 的 资源 时 ， 将 声明 放 在 一 行 上 且 无 需 使 用 结尾 的 运 号 : 


package { "puppet": ensure =&gt; installed } 


5， 当 声明 有 多 个 参数 的 资源 时 ， 每 个 参数 占 一 行 : 


package { "rake": 
ensure =&gt; installed, 
provider =&gt; gem, 
require =&gt; Package["rubygems"], 


6. 559] 符号 链接 (symlinks) 时 ， 使 用 ensure => link : 


file { "/etc/php5/cli/php.ini": 
ensure =&gt; link, 
target =&gt; "/etc/php.ini", 


} 
7. 为 了 使 代码 便于 阅读 ， 所 有 的 箭头 以 最 长 一 个 参数 对 齐 ， 例 如 : 
file { "/var/www/${app}/shared/config/rvmrc": 
owner =&gt; "deploy", 
group -&gt; "deploy", 
content -&gt; template("rails/rvmrc"), 
require -&gt; File["/var/www/${app}/shared/config"], 
} 
每 个 资源 中 的 箭头 (=>) 都 要 对 齐 ， 而 不 是 每 个 文件 中 的 箭头 都 对 齐 ; 否则 
会 在 不 同文 件 之 间 复 制 代 码 时 带 来 及 烦 。 
更 多 用 法 


Puppet Labs 网 站 上 维护 着 Puppet 社区 规范 指南 文档 : 
http://docs.puppetlabs.com/guides/style_guide.html » 


Tim Sharpe 写 了 一 个 puppet-lint 工具 ， 你 可 以 用 它 检查 你 的 配置 清单 是 否 符合 规 
范 。 运行 gem install puppet-lint 安装 它 ， 详 细 的 信息 请 参考 
https://github.com/rodjek/puppet-lint ° 


使 用 模块 


你 会 对 自己 编写 的 Puppet 代码 感到 盖 愧 吗 ? LMA GRY RGN SA RR 
为 了 使 你 的 Puppet 配置 清单 更 清晰 且 易 于 维护 ， 一 件 最 重要 的 事情 就 是 将 
置 清单 组 织 成 模块 (modules) 。 


模块 是 对 相关 事物 进行 分 组 的 一 种 简单 方式 ; 例如 ， 一 个 webserver 模块 可 能 包含 
作为 一 个 Web 服务 器 所 需 的 一 切 ， 包 括 Apache 配置 文件 ， 上 庶 拟 主机 配置 模板 以 
及 部 署 这 些 所 需 的 Puppet 代码 。 


将 配置 清单 拆 分 成 模块 易于 代码 的 重用 和 共享 ; 也 是 一 种 组 织 配 置 清单 的 最 合乎 远 
辑 的 方式 。 在 本 节 中 ， 我 们 将 会 创 D m memcached 的 模块 ，memcached 
是 一 个 Web 应 用 程序 常用 的 内 存 缓 存 系 纳 


操作 步骤 


1. 在 puppet.conf 中 查找 你 的 模块 路 径 ， 其 默认 值 是 E o 如果 
你 像 我 前 面 建议 的 那样 将 Puppet 配置 清单 纳入 了 版 本 控制 ， 那 么 就 使 用 你 的 
工作 副本 中 的 modules 目录 ， 之 后 再 由 他 部 署 到 /etc/puppet/modules 。 


EE 


感 吗 ? 
这 些 配 


# puppet --genconfig |grep modulepath 
modulepath = /etc/puppet/modules:/usr/share/puppet/modules 


在 模块 路 径 下 创建 一 个 名 为 memcached 的 子 目 录 : 


# cd /etc/puppet/modules 
# mkdir memcached 


在 此 目录 中 ， 创 建 manifests 和 files 两 个 子 目录 : 


# cd memcached 
# mkdir manifests files 


在 manifests 目录 下 ， 以 如 下 内 容 创 建 init.pp 文件 : 


class memcached { 
package { "memcached": 
ensure =&gt; installed, 
} 


file { "/etc/memcached.conf": 
source =&gt; "puppet:///modules/memcached/memcached.cor 
} 


service { "memcached": 
ensure =&gt; running, 
enable =&gt; true, 
require -&gt; [ Package["memcached"], 
File["/etc/memcached.conf"] ], 





切换 到 files 目录 ， 以 如 下 内 容 创建 memcached.conf 文件 : 


-m 64 

-p 11211 

-u nobody 

= 127.0.0.1 


2. 为 了 使 用 你 的 新 模块 ， 你 的 节点 定义 中 添加 如 下 的 代码 : 


node cookbook { 
include memcached 
} 


3. 运行 Puppet 检测 新 配置 : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1300361964' 

notice: /Stage[main]/Memcached/Package[memcached]/ensure: ensur 
changed 'purged' to 'present' 


info: /Stage[main]/Memcached/File[/etc/memcached. conf] : 
Filebucketed /etc/memcached.conf to puppet with sum a977521922e 
c959ac953712840803 

notice: /Stage[main]/Memcached/File[/etc/memcached.conf]/conter 
content changed '(md5ja977521922a151c959ac953712840803' to '{mc 
f5cObb01a24a5b3b86926c7b067ea6ba' 

notice: Finished catalog run in 20.68 seconds 


[| 





4. 检查 新 配置 的 服务 是 否 正 在 运行 : 


# service memcached status 
* memcached is running 


工作 原理 


模块 有 特定 的 目录 结构 。 并 非 所 有 子 目 录 都 要 存在 ， 但 如 果 存 在 就 该 以 如 下 的 布局 
方式 组 织 : 


MODULEPATH/ 
^-- MODULE NAME 
|-- files/ 
|-- templates/ 
|-- manifests/ 
|-- T 
^-- README 


在 memcached.pp 文件 中 定义 了 memcached 类 ， 它 可 以 被 Puppet 自动 导入 。 现 
在 将 其 包含 到 节点 中 : 


include memcached 


在 memcached 类 中 ， 引 用 了 memcached.conf 文件 : 


file { "/etc/memcached.conf": 
source => "puppet:///modules/memcached/memcached.conf", 
} 


正如 我 们 在 配置 Puppet 的 文件 服务 器 一 节 讲 到 的 ， 上面 代码 中 的 source 参数 告 
诉 Puppet 在 如 下 的 路 径 寻 找 文件 : 


MODULEPATH/ 
memcached/ 
files/ 
memcached.conf 


更 多 用 法 


学 习 喜 欢 模块 的 组 织 方式 ， 使 用 模块 将 使 你 的 Puppet 管理 生活 便 得 更 轻松 。 模 块 
并 不 复杂 。 然而 ， 实 践 和 经 验 会 帮助 你 判断 何 时 应 该 将 事物 划分 并 组 织 成 模块 ， 以 
及 如 何 更 好 的 安排 你 的 模块 结构 。 如 下 所 述 的 一 些 技巧 会 对 你 有 了 所 帮助 。 

模板 


模板 作为 模块 的 一 部 分 ， 如 果 你 需要 使 用 它 ， 那 么 其 放 在 
MODULE NAME/templates 目录 ， 参 考 如 下 的 用 法 : 


file { "/etc/memcached.conf": 
content => template("memcached/memcached.conf"), 
} 


Puppet 会 在 如 下 目录 搜索 模板 文件 : 


MODULEPATH/ 
memcached/ 
templates/ 
memcached. conf 


Fact^ 22. APRA 

模板 中 也 可 以 包含 自 定义 fact、 自 定义 函数 、 自 定义 资源 类 型 和 自 定义 提供 者 。 关 
于 这 些 内 容 的 详细 信息 请 参阅 外 部 工具 和 Puppet 的 生态 系统 一 章 的 内 容 。 
puppet-module 


你 也 可 以 使 用 puppet-module 工具 为 一 个 新 模块 创建 目录 布局 ， 而 不 是 使 用 手工 方 
Ao 请 参考 第 9 EH 使 用 公共 模块 一 节 获 得 更 详细 的 信息 。 


上 大 大 ”一 


第 三 方 模块 


你 可 以 下 载 由 其 他 人 开发 的 模块 ， 并 在 你 的 配置 清单 中 使 用 这 些 模块 ， 就 像 这 些 模 
块 是 你 自己 写 的 一 样 。 请 参考 第 9 章 的 使 用 公共 模块 一 节 获 得 更 详细 的 信息 。 


模块 的 组 织 方法 


Puppet 2.7 Cookbook 中 文 版 


有 关 如 何 组 织 模块 的 更 多 信息 ， 参 见 Puppet Labs 站 
点 : http://docs.puppetlabs.com/guides/modules.html ° 


参见 本 书 


。 第 1 章 的 配置 Puppet 的 文件 服务 器 一 节 


> 


J 


e 第 9 章 的 创建 Facter 的 自 定义 fact 一 节 
e 第 9 章 的 使 用 公共 模块 一 节 

。 第 9 章 的 创建 自 定义 的 资源 类 型 一 节 

e 第 9 章 的 创建 自 定 义 的 提供 者 一 节 


使 用 模块 


99 


使 用 标准 的 命名 规范 


There are only two hard problems in computer science: cache invalidation, 
naming things, and off-by-one errors. 


— Phil Karlton 
当 你 维护 代码 时 会 发 现 ， 选 择 适 当 而 有 意义 的 信息 为 你 的 模块 POMA 是 有 很 大 帮 
助 的 。 尤 其 是 当 其 他 人 需要 阅读 或 基于 你 编写 的 配置 清单 工作 时 ， 命名 方法 是 
十 分 必要 的 。 
操作 步骤 


. 模块 应 该 以 被 管理 的 软件 或 服务 命名 ， 例 如 : apache 或 haproxy。 


用 跟 在 模块 之 后 的 功能 或 提供 的 服务 为 模块 中 的 类 命名 ， 例 如 
apache::vhosts X rails::dependencies ° 


如 果 在 模块 中 提供 了 禁用 服务 的 功能 ， 将 其 命名 为 disabled。 例 如 一 个 禁用 
Apache 的 类 应 该 命令 为 apache::disabled ° 


2. 如 果 一 个 节点 需要 提供 多 种 服务 ， 请 在 节点 的 定义 中 包含 一 个 类 或 者 每 个 服务 
的 类 名 。 2 : 


node server@14 inherits server { 
include puppet: :server 
include mail: :server 
include repo: :gem 
include repo::apt 
include zabbix 


3. 管理 用 户 的 模块 应 该 命名 为 user。 
ij， 在 user 模块 中 ， 声 明 虚 拟 用 户 的 类 应 命名 为 user::virtual 。 


ji， 在 user 模块 中 ， 一 个 特定 的 用 户 组 应 该 命名 为 子 类 ， 例 如 
user::sysadmins 或 user::contractors ° 


4.， 当 你 需要 覆盖 某 些 特定 节点 或 服务 的 类 时 ， 继 承 该 类 并 以 节点 名 作为 子 类 名 的 


前 级 o 例如， 如 果 节 点 cartman 需要 一 个 特殊 的 SSH BC BALES ssh 类 ， 
可 以 这 样 做 : 


class cartman_ssh inherits ssh { 
[ override config here | 
} 


5. 当 使 用 Puppet 为 不 同 的 服务 部 署 配 置 时 ， 被 Puppet 解析 后 传 出 的 文件 应 该 
以 服务 开头 ， 随 后 跟 上 指示 文件 功能 的 后 级 。 例 如 : 


o Apache init 脚本 ?一 ?apache.init 
o Rails 的 日 志 深 动 配置 片段 ?一 ?rails.logrotate 


o Nginx 为 mywizzoapp 应 用 所 做 的 vhost 配置 ?一 ? 
mywizzoapp.vhost.nginx 


o 独立 运行 的 MYSQL 服务 器 的 配置 ?一 ?standalone.mysql 


如 果 你 要 管理 不 同 的 Ruby 版 本 ， 可 以 使 用 添加 了 版 本 号 的 类 名 ， 表 示 由 此 类 
负责 特定 版 本 的 管理 ， 例 如 ruby192 或 ruby186 。 


更 多 用 法 


Puppet 社区 维护 着 一 套 Puppet 基础 设施 的 最 佳 实践 准则 ， 其 中 包括 对 命名 的 提 
示 : http://projects.puppetlabs.com/projects/1/wiki/Puppet_Best_Practice2 。 


一 些 人 更 愿意 在 一 个 节点 中 使 用 和 过 号 分 割 的 列表 包含 多 个 类 ， 而 不 是 使 用 分 离 的 
include 语句 。 例 如 : 


node server014 inherits server { 
include puppet::server, 
mail::server, 


repo: :gem, 
repo: :apt, 
zabbix 


这 是 个 风格 问题 ， 但 我 更 愿意 使 用 分 离 的 include 语句 ， 一 行 包 含 一 个 模块 或 类 ， 
因为 这 样 可 以 更 容易 地 在 节点 之 问 复制 或 移动 ， 而 无 需 每 次 都 要 整理 去 号 和 缩 进 的 
问题 。 


我 在 前 面 的 例子 中 曾 几 次 提 到 过 继承 。 如 果 你 不 知道 这 是 什么 ， 不 要 担心 : 我 会 在 
下 一 章 详细 解释 。 


48 A 4E AX, Ruby 代码 
Ruby, like fire, is a very useful friend, and a very dangerous enemy. 
— Mikkel Bruun 


JE JE PK FL ARX N Ruby 帮助 构建 动态 的 配置 文件 或 实现 数组 遍历 是 一 种 强大 的 
方式 。 然而 ， 你 也 可 以 在 配置 清单 中 使 用 inline template 函数 直接 上 谈 入 Ruby 而 
不 必 使 用 分 离 的 模板 文件 。 


操作 步骤 
在 Puppet 的 配置 清单 中 将 Ruby 代码 传递 给 inline_template 函数 : 


cron { "nightly-job": 
command => "/usr/local/bin/nightly-job", 
hour => "0", 
minute => inline_template("<%= hostname.hash.abs % 60 %>"), 


工作 原理 


传递 给 inline_template 的 字符 串 都 会 被 执行 ， 就 像 ERB 模板 一 样 。 也 就 是 说 ， 在 
分 隔 符 <%= 和 %> 之 间 的 所 有 内 容 都 被 当做 Ruby 代码 执行 ， 其 余 的 将 被 视 为 字 
T e 


e 第 5 章 的 使 用 ERB 模板 一 节 


e 第 5 章 的 在 模板 中 遍历 数组 一 节 


使 用 纯 Ruby 代码 书写 配置 清单 


你 会 说 西班牙 语 吗 ? 学 习 一 门 语 言 可 能 会 很 有 趣 ， 但 并 非 所 有 人 都 想 这 么 做 。 
Puppet 有 时 会 因为 它 使 用 自己 专用 的 配置 语言 而 不 是 现存 的 通用 语言 (如 Ruby) 
书写 配置 清单 而 遭 到 批评 。 


不 是 每 个 人 都 认为 这 是 个 缺点 。 计 算 机 科学 家 Dennis Ritchie 说 : 


A language that doesn't have everything is actually easier to program in than 
some that do 


— Dennis Ritchie 


无 论 你 是 什么 观点 ， 这 种 批评 已 不 再 适用 。 因 为 Puppet 已 经 拥有 了 使 用 Ruby 语 
言 书写 配置 清单 的 实验 性 支持 ， 这 在 生产 环境 上 是 相当 有 用 的 ， 即 使 还 处 于 早期 开 
发 阶段 。 在 你 的 配置 清单 中 可 以 混合 使 用 两 种 语言 ，Puppet 以 文件 扩展 名 进行 区 
别 ， 扩 展 名 .rb 表示 用 Ruby 语言 书写 的 配置 清单 文件 ， 而 扩展 名 .pp 表示 Puppet 
专用 的 配置 语言 文件 。 


为 了 书写 配置 清单 使 用 的 Ruby 的 特定 领域 语言 (domain-specific language ， 
DSL) 看 上 去 与 标准 的 Puppet 语言 非常 相似 。 在 下 面 的 例子 中 ， 我 将 向 你 展示 如 
何 将 典型 的 Puppet 配置 清单 转换 成 Ruby 的。Puppet 语法 的 原始 配置 清单 如 下 : 


class admin::exim { 
package { "exim4": ensure => installed } 


service { "exim4": 
ensure => running, 
require => Package["exim4"], 


j 


file ( "/etc/exim4/exim4.conf": 
content -» template("admin/exim4.conf"), 
notify => Service["exim4"], 
require -» Package["exim4"], 


} 
5 
操作 步骤 


1. 使 用 如 下 内 容 创建 letc/puppet/modules/admin/manifests/exim.rb 文件 : 


hostclass "admin::exim" do 
package "exim4", :ensure =&gt; :installed 


service "exim4", 
:ensure =&gt; :running, 
:require -&gt; "Package[exim4]" 


file "/etc/exim4/exim4.conf", 
:content -&gt; template(["admin/exim4.conf"]), 
:notify  -&gt; "Service[exim4]", 
:require -&gt; "Package[exim4]" 
end 


. 在 一 个 节点 中 包含 这 个 类 并 运行 Puppet。 


工作 原理 


1. 


关键 字 hostclass 声明 一 个 类 ， 就 像 Puppet 中 的 class : hostclass 
admin::exim do 


.然后 跟 一 个 do ... end 语句 块 ， 这 相当 于 Puppet 的 一 对 大 括号 。 
. 通过 在 资源 类 型 后 调用 函数 来 声明 资源 : 例如 package X service : package 


"exim4", :ensure => :installed 


. 传递 给 函数 的 参数 是 一 个 用 过 号 分 割 的 列表 ， 参 数 必 须要 用 双 引 号 括 起 来 ， 或 


者 在 参数 前 使 用 前 导 的 冒号 使 其 成 为 Ruby symbol 4 € : :ensure => 
:running, 


又 如 ， 像 :installed 或 :running 这 样 的 Puppet 内 置 名 字 都 是 Ruby 的 symbol 
xt Ho 

| | 译 者 注 

有 关 Ruby Symbol 的 详细 介绍 请 参考 : 
http://www.ibm.com/developerworks/cn/opensource/os-cn-rubysbl/ 


. 当 我 们 需要 引用 资源 来 表示 相互 关系 时 ， 就 要 使 用 require ' 资源 标识 符 通 过 


首 字 母 大 写 的 资源 类 型 跟 上 写 在 一 对 方 括号 中 的 资源 名 给 出 ， 例 如 : require 
=> "Package[exim4]" 


E WA FAR AS 英 板 这 样 的 函数 时 可 以 使 用 函数 名 跟 一 对 圆 括号 ， 在 圆 括号 中 传递 的 
参数 是 一 对 用 方 括号 声明 的 数组 ， 例 如 : :content => 
template(["admin/exim4.conf"]), ° 


更 多 用 法 


Ruby DSL 尚 处 于 早期 开发 阶段 。 试 验 虽 然 有 趣 ， 除 非 你 有 使 用 Ruby 的 令 人 信服 

的 理由 否则 先 别 用 它 ， 至 今 我 仍旧 使 用 标准 的 Puppet 语言 。 或 许 将 来 Ruby DSL 

会 被 广泛 应 用 ， 但 在 此 期 间 ， 你 会 发 现 没有 它 的 生活 会 更 轻松 。 然 而 ， 若 你 坚持 要 
使 用 它 ， 下 面 介 绍 几 个 非常 有 用 的 提示 。 

变量 
当 你 像 常规 的 Ruby 程序 一 样 使 用 Ruby 变量 时 ， 可 以 使 用 scope.lookupvar 访问 
你 的 Puppet 变量 ， 例 如 : 


notice( "I am running on node %s" % scope.lookupvar("fqdn") ) 


将 得 到 : 


notice: I am running on node cookbook.bitfieldconsulting.com 


要 在 你 的 Puppet 配置 清单 范围 内 设置 变量 ， 使 用 scope.setvar， 例 如 : 


require 'time' 

scope.setvar("now", Time.now) 

notice( "At the third stroke, the time sponsored by Bitfield 
Consulting will be: %s" % scope.lookupvar("now") ) 


上 面 的 代码 将 获得 如 下 结果 : 


notice: At the third stroke, the time sponsored by Bitfield Consul! 
will be: Wed Mar 23 05:58:16 -0600 2011 





文档 


你 可 以 在 Puppet Labs 网 站 找到 更 多 如 何 使 用 Ruby DSL 的 详细 资料 ， 包 括 诸如 
virtual resources 和 collections 这 样 的 高 级 主题 : 
http://projects.puppetlabs.com/projects/1/wiki/Ruby_Dsl ° 


Ken Barber 提供 了 一 些 语 法 例子 ， 并 对 Puppet 语法 和 Ruby DSL 结构 做 了 上 比较 ， 
网 址 在 https://github.com/bobsh/puppet-rubydsl-examples 。 


最 后 ，James Turnbull 发 布 过 一 篇 blog， 展 示 了 使 用 Ruby 连接 MySQL 服务 器 的 
高 级 方法 : http:/www.puppetlabs.com/blog/using-ruby-inthe-puppet-ruby-dsl/ ° 


遍历 多 个 项 目 


该 死 的 东西 一 个 接 一 个 ! 数组 (Arrays) 是 Puppet 的 一 个 强大 特性 ; 不 论 何 
时 ， 你 要 对 列表 中 的 元 素 执行 相 同 的 操作 ， 数 组 就 会 帮 你 的 忙 。 你 可 以 创建 一 个 数 
组 ， 将 所 有 的 数组 元 素 放 在 一 对 方 括号 中 并 以 各 号 间隔 ， 例 如 : 


$lunch = [ "franks", "beans", "mustard" | 


操作 步骤 
在 你 的 配置 清单 中 添加 如 下 代码 : 


$packages = [ "ruby1.8-dev", 
"ruby1.8", 
bi ies ey 
ro (oe ee 
EUR TS 
"libreadline-ruby1.8", 
"libruby1.8", 
"libopenssl-ruby" ] 


package ( $packages: ensure -» installed ) 


运行 Puppet， 值 得 注意 的 是 现在 每 个 软件 包 都 应 该 被 安装 。 


工作 原理 
当 Puppet 过 到 数组 作为 资源 名 的 情况 时 ， 它 会 对 数组 中 的 每 个 元 素 创 建 一 个 次 
源 。 在 前 面 的 例子 中 ， 对 $packages 数组 中 的 每 一 个 包 ， 使 用 相同 的 参数 


(ensure => installed) 创建 了 一 个 新 的 package 资源 。 这 是 对 很 多 类 似 的 资源 进 
行 实例 化 的 一 个 非常 紧凑 的 方式 。 


更 多 用 法 
如 果 你 听 到 哈 希 (hash) ， 会 比 数组 更 兴奋 。 
哈 希 


*&4 (hash) 与 数组 类 似 ， 但 它 的 每 个 元 素 都 可 以 通过 名 字 存 储 和 查找 。 例 如 : 


$interface = { name => 'ethdo', 
address => '192.168.0.1' } 


notice("Interface ${interface[name]} has address ${interface[addre: 








‘| 
的 执行 结果 为 : 





Interface ethO has address 192.168.0.1 


你 可 以 给 哈 希 赋 任 意 的 值 : 字符 串 、 函 数 调 用 、 表 达 式 、 甚 至 其 它 哈 希 或 数组 。 


使 用 split 函数 创建 数组 
你 可 以 使 用 方 括号 来 声明 文字 数组 ， 例 如 : 


define lunchprint() 1 
notify ( "Lunch included $name": } 


j 


$lunch = [ "egg", "beans", "chips" ] 
lunchprint ( $lunch: } 


Lunch included egg 
Lunch included beans 
Lunch included chips 


但 是 Puppet 还 可 以 使 用 split 函数 从 一 个 字符 串 创建 数组 ， 例 如 : 


$menu = "egg beans chips" 
$items = split($menu, ' ') 
lunchprint ( $items: } 


Lunch included egg 
Lunch included beans 
Lunch included chips 


注意 split 函数 携带 两 个 参数 : 第 一 个 参数 是 要 被 拆 分 的 字符 串 ; 第 二 个 参数 是 拆 分 
间隔 符 ， 在 本 例 中 是 一 个 空格 。 当 Puppet 遍历 字符 串 时 ， 一 遇 到 空格 就 将 其 视 为 
一 个 元 素 的 结束 和 下 一 个 元 素 的 开始 。 所 以 ， 给 定 的 字符 串 "egg beans chips" 将 
被 拆 分 为 三 个 元 素 。 


拆 分 间隔 符 可 以 是 任意 字符 或 字符 串 : 


$menu = "egg and beans and chips" 
$items = split($menu, ' and ') 


拆 分 间 隔 符 也 可 以 是 正则 表达 式 (regular expression) ， 例 如 : 一 个 多 选 一 集合 可 
以 使 用 | (pipe) 符号 来 做 间隔 : 


"egg:beans, chips" 
split($lunch, ':|,') 


$lunch 
$items 


书写 强大 的 条 件 语句 


生活 充满 选择 。Puppet 的 让 语句 允许 基于 变量 或 表达 式 的 值 应 用 不 同 的 配置 代 
[E 使 用 让 语句 ， 你 可 以 根据 当前 节点 的 实际 情况 应 用 不 同 的 资源 或 参数 值 ， 例 
v: 操作 系统 或 内 存 大 小 。 举 例 来 说 ， 数据 中 心 A 中 的 节点 和 数据 中 心 B 中 的 节点 
oe m T T 可 能 需要 执行 不 同 
类 的 集合 。 


操作 步骤 
在 你 的 配置 清单 中 添加 如 下 的 代码 : 


if $lsbdistid == "Ubuntu" { 
notice("Running on Ubuntu") 
) else { 


notice("Non-Ubuntu system detected. Please upgrade to Ubuntu 
immediately.") 


} 


工作 原理 

Puppet 对 if 关键 字 之 后 的 内 容 视 为 表达 式 并 对 其 进行 评估 。 若 表达 式 的 值 为 
true > Puppet 将 执行 大 括号 内 的 代码 。 

另外 ， 你 还 可 以 使 用 else 分 支 ， 它 将 在 表达 式 的 值 为 false 时 执行 。 


更 多 用 法 
虽然 你 可 以 在 Puppet 中 写 出 很 复杂 的 放 语 句 ， 但 是 我 不 建议 你 这 么 做 。 很 多 时 
候 ， 改 变 你 的 设计 思路 (例如 ， 使 用 模板 ) 比 使 用 if 语句 要 好 。 


从 我 用 于 生产 环境 的 一 些 配置 清单 实例 来 看 ， 我 惊讶 地 发 现 ， 在 所 有 的 几 千 行 代码 
中 都 没有 使 用 诺 语句。 尽管 如 此 ， 你 的 里 程 可 能 会 有 所 不 同 ， 所 以 下 面 给 出 一 些 使 
用 诉 的 技巧 。 

elsif 


你 可 以 添加 elsif 关键 字 进 步 的 测试 ， 例 如 : 


if $lsbdistid == "Ubuntu" { 
notice("Running on Ubuntu") 


} elsif $lsbdistid == "Debian" { 
notice("Close enough..." ) 
} else { 


notice("Non-Ubuntu system detected. Please upgrade to Ubuntu 
immediately.") 
} 
比较 
你 可 以 使 用 == 语法 检查 两 个 值 是 否 相 同 ， 例 如 : 
if $lsbdistid == "Ubuntu" { 


j 


或 者 使 用 != 语法 检查 两 个 值 是 否 不 同 ， 例 如 : 


if $lsbdistid != "CentOS" { 


} 


你 也 可 以 使 用 < 和 > 比较 两 个 数值 ， 例 如 : 


if $uptime days > 365 { 
notice("Really .. there have been kernel security patches out 
there for ages, you will so be Owned!") 


j 
| —— —— | 


还 可 以 使 用 <= 或 >= 对 数值 进行 比较 : 


if $lsbmajdistrelease <= 9 { 


} 


你 可 以 把 上 述 代码 片段 中 的 一 些 简 单 表达 式 组 合成 更 复杂 的 逻辑 表达 式 ， 他 辑 表 达 
式 使 用 与 (and) `A (or) 和 非 (not) 连接 简单 表达 式 ， 例 如 : 


if Ce days > 365) and ($lsbdistid == "Ubuntu") { 


} 


if ($role == "webserver") and ( ($datacenter == "A") or ($datacente 


J ss 











第 3 章 的 在 让 语 名 中 使 用 正则 表达 式 一 节 
e 第 3 章 的 检测 字符 串 中 是 否 包含 指定 的 值 一 
第 3 章 


的 使 用 选择 器 和 case wea 一 节 


E if 73 47 EE GEAR A 


Some people, when confronted with a problem think; / know, I'll use regular 
expressions. Now they have two problems. 


— Jamie Zawinski 


你 可 以 在 话语 多 中 使 用 另 一 种 类 型 的 表达 式 ， 即 正则 表达 式 (regular 
expression) » 正则 表达 式 是 一 种 使 用 模式 匹配 的 强大 的 字符 串 比 较 方 式 。 


操作 步骤 
在 你 的 配置 清单 中 添加 如 下 代码 : 


if $lsbdistdescription =~ /LTS/ { 

notice("Looks like you are using a Long Term Support version ol 
Ubuntu." ) 
} else { 

notice("You might want to upgrade to a Long Term Support versic 
of Ubuntu...") 





工作 原理 


Puppet 将 两 个 斜 线 之 间 的 文本 当做 正则 表达 式 对 待 ， 两 个 各 斜 线 之 间 的 文本 就 是 
要 匹配 的 内 容 。 如 果 正则 表达 式 匹 配 成 功 ， 放 表达 式 为 真 ， 第 一 个 大 括号 之 间 的 代 
码 就 会 被 执行 。 


若 要 使 用 匹配 的 反 逻 辑 ， 即 不 匹配 ， 需 要 使 用 !~ BK =~ ， 例 如 : 


if $lsbdistdescription !~ /LTS/ { 


更 多 用 法 

正如 Jamie Zawinski 指出 的 ， 正 则 表达 式 虽 然 强大 ， 但 难于 理解 和 调试 。 如 果 你 
发 现 自己 所 写 的 正则 表达 式 相 当 复 杂 ， 以 至 于 一 眼看 上 去 不 能 被 理解 ， 就 应 该 考虑 
简化 设计 使 正则 表达 式 更 易 懂 。 然而 ， 正 则 表达 式 的 一 个 特别 有 用 的 功能 是 能 够 捕 
获 模 式 。 

捕捉 模式 

你 不 仅 可 以 使 用 正则 表达 式 匹配 文本 ， 还 可 以 捕获 匹配 的 文本 并 将 其 存储 在 变量 
中 : 


$input = "Puppet is better than manual configuration" 
if $input =~ /(.*) is better than (.*)/ { 
notice("You said '$0'. Looks like you're comparing $1 to $2!") 


EJ — BR] 





You said 'Puppet is better than manual configuration'. Looks like | 
comparing Puppet to manual configuration! 


in Og 
变量 $0 存储 了 所 有 匹配 的 文本 (假设 整体 匹配 成 功 ) o 如 果 你 将 一 部 分 正则 表达 
式 置 于 一 对 圆 括 号 中 ， 就 会 创建 一 个 组 (group) ， 并 且 所 有 被 匹配 的 组 都 会 存储 
在 变量 中 。 第 一 个 被 匹配 的 组 是 $1， 第 二 个 是 $2， 以 此 类 推 ， 正 如 上 例 展 示 的 那 
样 。 





正则 表达 式 语法 
Puppet 使 用 了 Ruby 正则 表达 式 语 法 (Regular expression syntax) 的 一 个 子 集 ， 
如 果 你 还 不 熟悉 正则 表达 式 ， 下 面 网 址 中 的 解释 会 对 你 有 用 : 
http://gnosis.cx/publish/programming/regular_expressions.html ° 
参见 本 书 

e KEN 使 用 正则 表达 式 替换 一 节 


使 用 选择 器 和 case 语句 
Smarts is the most exclusive club in town. Everyone welcome. 
一 Sign 


有 时 选择 性 是 很 重要 的 。 尽 管 你 可 以 使 用 if 书写 任何 条 件 语 句 ， 但 Puppet 还 提供 
了 帮助 你 更 容易 地 表达 条 件 的 额外 形式 ， 例 如 : 选择 器 (selector) 和 case 语 
4 o 


操作 步骤 


1. 在 你 的 配置 清单 中 添加 如 下 代码 : 


$systemtype = $operatingsystem ? { 
"Ubuntu" =&gt; "debianlike", 
"Debian" =&gt; "debianlike", 
"RedHat" =&gt; "redhatlike", 
"Fedora" =&gt; "redhatlike", 
"CentOS" =&gt; "redhatlike", 
default -&gt; "redhatlike", 

} 


notify { "You have a ${systemtype} system": } 


2. 接 下 来 ， 再 添加 如 下 代码 : 


class debianlike { 
notify { "Special manifest for Debian-like systems": } 
j 


class redhatlike { 
notify ( "Special manifest for RedHat-like systems": ) 
j 


case $operatingsystem { 
"Ubuntu", 
"Debian": ( 
include debianlike 
} 


"RedHat", 
"Fedora", 
"CentOS": { 
include redhatlike 
} 


工作 原理 


上 面 的 例子 同时 演示 了 选择 器 (selector) 和 case 语句 ， 让 我 们 来 看 看 它们 是 如 何 
工作 的 。 


e selector 


在 第 一 个 例子 中 ， 我 们 使 用 了 一 个 选择 器 (操作 符 ?) 根据 变量 
$operatingsystem 的 值 为 $systemtype 变量 赋值 。 这 类 似 于 C 语言 和 Ruby 
语言 中 的 三 元 运算 符 ， 不 同 之 处 在 于 三 元 运算 符 只 能 在 两 个 可 选 值 之 间 选 择 ， 
而 此 处 的 选择 器 则 可 以 提供 你 想 要 的 多 个 值 。 


Puppet 会 与 $operatingsystem 的 每 一 个 可 能 的 值 (如 Ubuntu、Debian 等 ) 
一 一 做 比较 。 这 些 值 可 以 是 正则 表达 式 (例如 ， 部 分 字符 串 匹 配 ， 或 使 用 通 配 
符 ) ， 但 在 本 例 中 我 们 仅仅 使 用 了 文本 字符 串 。 一 旦 发 现 匹 配 的 值 ， 选 择 器 表 
达 式 就 会 返回 与 其 相关 的 匹配 字符 串 。 例 如， 如 果 $operatingsystem 的 值 是 
Fedora， 选 择 器 表达 式 就 会 返回 字符 串 redhatlike 并 将 其 赋予 变量 
$systemtype ° 


e Case i$ 4) 


与 选择 器 不 同 ，case 语句 不 会 返回 任何 值 。case 语句 适用 于 ， 当 你 想 根 据 一 
个 表达 式 的 不 同 的 值 执行 不 同 代 码 的 情况 。 在 我 们 的 第 二 个 例子 中 ， 使 用 
case 语句 根据 $operatingsystem 的 值 或 者 包含 debianlike 类 ， 或 者 包含 
redhatlike 类 。 


再 次 指出 ，Puppet 会 根据 $operatingsystem 值 与 潜在 的 匹配 列表 进行 比较 。 
这 些 匹 配 列 表 可 以 是 正则 表达 式 ， 或 者 是 字符 串 ， 或 者 像 我 们 的 例子 中 一 样 使 
用 去 号 间隔 的 字符 串 列表 。 当 Puppet 在 匹配 列表 中 找到 一 个 匹配 值 ， 就 会 执 
行 与 此 匹配 项 相关 的 大 括号 之 间 的 代码 。 所 以 ， 如 果 $operatingsystem 的 值 
是 Ubuntu > 48 Z include debianlike 就 会 被 执行 。 


更 多 用 法 

一 旦 你 掌握 了 选择 器 和 case 语句 的 基本 用 法 ， 你 会 发 现下 面 的 技巧 非常 有 用 。 
正则 表达 式 

与 让 语句 一 样 ， 你 可 以 在 选择 器 和 case 语句 中 使 用 正则 表达 式 ， 并 且 你 也 可 以 di 
获 匹 配 组 的 值 ， 并 使 用 $1、$2 等 引用 它们 的 值 。 


case $lsbdistdescription { 
/Ubuntu (.+)/: { 
notify { "You have Ubuntu version $1": } 


} 
/CentOS (.+)/: { 

notify { "You have CentOS version $1": } 
} 


默认 值 


选择 器 和 case 语句 都 可 以 让 你 指定 一 个 default 值 ， 当 没有 其 他 匹配 项 时 就 使 用 这 
个 默认 值 : 


$lunch = "Sausage and chips" 

$lunchtype = $lunch ? { 
/chips/ => "unhealthy", 
/salad/ => "healthy", 
default => "unknown", 


} 


notify { "Your lunch was ${lunchtype}": } 


Your lunch was unhealthy 


仿 测 字符 串 中 是 否 包含 指定 的 值 
想 知 道 什么 在 什么 不 在 吗 ? Puppet 的 in 可 以 帮 你 ， 如 下 面 的 表达 式 : 


if "foo" in $bar 


如 果 foo 是 $bar 的 子囊 ， 表 达 式 的 值 为 true。 wR $bar 是 个 数组 ， 并且 foo 是 这 
个 数组 中 的 一 个 元 素 ， 表 达 式 的 值 为 truec 如 果 $bar 是 一 个 哈 希 ，foo 是 $bar 的 
一 个 键 值 ， 表 达 式 的 值 为 true 


操作 步骤 


1. 在 你 的 配置 清单 中 添加 如 下 代码 : 


if $operatingsystem in [ "Ubuntu", "Debian" ] { 

notify { "Debian-type operating system detected": } 
} elsif $operatingsystem in [ "RedHat", "Fedora", "SuSE", "Cent 
] i 

notify { "RedHat-type operating system detected": } 


) else { 
notify { "Some other operating system detected": } 





2. 运行 Puppet : 


# puppet agent --test 
Debian-type operating system detected 


更 多 用 法 


in 表达 式 既 可 以 使 用 在 计 语 多 或 其 他 条 件 语 甸 中 ， 还 可 以 在 任何 表达 式 能 出 现 的 地 
方 使 用 。 例 如， 你 可 以 像 下 面 这 样 为 一 个 变量 赋值 : 


$debianlike = $operatingsystem in [ "Debian", "Ubuntu" ] 


if $debianlike { 


$ntpservice - "ntp" 
) else { 
$ntpservice - "ntpd" 


} 


使 用 正则 表达 式 替 换 

Change is inevitable, except from vending machines. 

一 Robert C. Gallagher 
Puppet 的 regsubst 函数 提供 了 一 种 处 理 文本 的 简单 方法 ， 用 于 在 字符 串 中 查找 和 
替换 ， 或 者 从 字符 串 提 取 匹 配 的 模式 。 例 如， 我 们 通常 需要 对 从 facter 或 者 从 外 部 
程序 获得 的 数据 做 这 样 的 处 理 。 
在 本 例 中 将 会 看 到 如 何 使 用 regsubst 提取 一 个 IP 地 址 的 前 三 个 字 节 ( 即 网 络 地 址 
部 分 ， 假 定 此 IP 地 址 是 一 个 C 类 地 址 ) © 
操作 步骤 

1. 在 配置 清单 中 添加 如 下 的 代码 : 

$class_c = regsubst($ipaddress, "(.*)\..*", "\1.0") 


notify { $ipaddress: } 
notify { $class_c: } 


2. 运行 Puppet : 


notice: 10.0.2.15 
notice: 10.0.2.0 


工作 原理 


regsubst 函数 需要 携带 三 个 参数 : 源 字 符 串 、 匹 配 模式 (pattern ) 和 替换 结果 。 
在 本 例 中 ， 我 们 指定 的 源 字符 串 是 $ipaddress， 这 恰好 是 : 


1020:2-15 


我 们 还 指定 了 (.).. 作为 匹配 模式 并 且 \1.0 作为 替换 结果 。 


匹配 模式 将 匹配 整个 P 地 址 ， 捕 获 的 前 三 个 字 节 放 在 一 对 圆 括号 内 。 被 捕获 的 文 
本 可 以 在 替换 结果 中 使 用 \T 来 引用 。 

被 匹配 的 全 部 文本 (本 例 中 是 字符 串 “10.0.2.15”) 将 使 用 替换 结果 
(replacement) 来 替换 。 这 里 是 \1 (从 源 字 符 串 中 捕获 的 文本 ) 跟 上 字符 串 .0， 
最 终 获 得 : 10.0.2.0。 


更 多 用 法 


匹配 模式 中 可 以 使 用 任何 正则 表达 式 ， 与 在 放 语 句 中 使 用 的 正则 表达 式 (Ruby) 语 
法 一 致 。 


大 


章 的 在 让 语 包 中 使 用 正则 表达 式 一 节 


书写 更 优质 的 配置 清单 


There are only two kinds of programming languages: those people always 
bitch about and those nobody uses. 


— Bjarne Stroustrup 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 
e 使 用 资源 的 数组 
e 使 用 define 资源 
e 指定 资源 的 依赖 关系 
e 使 用 节点 继承 
e 使 用 类 的 继承 和 重 载 
e 给 类 传递 参数 
e 书写 可 重用 的 跨 平 台 配置 清单 
e 获得 系统 的 环境 信息 
e 导入 动态 信息 
e 从 CSV 文件 导入 数据 
e 给 Shell 命令 传递 参数 


你 的 Puppet 配置 清单 实际 上 就 是 你 所 管理 的 整个 基础 设施 的 活生生 的 文档 。 保 持 
配置 清单 的 整洁 和 良好 组 织 使 其 更 容易 维护 和 理解 是 个 明智 之 举 。 Puppet 为 你 方 
便 管理 代码 提供 了 许多 工具 ， 其 中 包括 : 


e 数组 (Arrays) 

e 定义 (Defines) 

e 依赖 (Dependencies) 

e A (Inheritance) 

e 类 参数 (Class parameters) 


我 们 将 看 到 如 何 使 用 上 面 的 所 有 工具 $$) 。 通 过 对 本 章 的 阅读 ， 尝 试 使 用 
这 些 例子 做 实验 ， 看 看 利用 这 些 功能 是 否 能 帮 你 简化 和 改善 你 的 Puppet 代码 。 


使 用 资源 的 数组 


你 可 以 将 一 切 均 视 为 Puppet 的 资源 ， 
以 重 构 你 的 配置 清单 ， 使 其 更 加 简洁 而 清 Wf o 


你 也 可 以 使 用 数组 资源 。 使 用 这 


种 想法 ， 可 


操作 步骤 
1. 在 你 的 配置 清单 中 ， 将 同一 类 型 资源 的 几 个 实例 定义 在 一 个 类 中 ， 例 如 : 
packages : 

package { "sudo" : ensure =&gt; installed } 

package { "unzip" : ensure =&gt; installed } 

package { "locate" : ensure =&gt; installed } 

package { "lsof" : ensure =&gt; installed } 

package { "cron" : ensure =&gt; installed } 

package { "rubygems" : ensure =&gt; installed } 


2. 使 用 如 下 的 方法 用 数组 将 它们 组 织 在 一 起 并 用 一 个 package 5$ 


"cron", 
"locate", 
Iso 
"rubygems" 
"screen", 
"sudo" 

"unzip" ] : 
ensure =&gt; installed, 


package { [ 


工作 原理 
绝 大 多 数 的 Puppet 次 


组 的 元 素 创 建 一 个 实例 。 RA 
都 会 分 配给 每 个 新 的 资 OR bl 。 


参见 本 书 


e 第 3 章 的 遍历 多 


资源 提供 的 所 有 参数 (例如: 


资源 AB 2 数组 来 替换 单个 的 资源 名 ， 
ensure => installed ) 


ERRE : 


并 会 为 每 个 数 


使 用 define 资源 


Girl number twenty unable to define a horse!" said Mr. Gradgrind.?—?Charles 
Dickens. 


— Hard Times 


除非 你 知道 如 何 定 义 你 想 要 什么 ， 不 然 不 会 得 到 预期 的 结果 。 在 上 一 节 的 示例 中 ， 
我 们 看 到 了 如 何 将 同类 资源 组 合成 数组 从 而 减少 宛 余 代码 。 然而 ， 这 种 技术 有 一 个 
限制 ， 那 就 是 所 有 的 资源 必须 使 用 相同 的 参数 。 当 你 有 一 组 资源 拥有 一 些 公用 的 参 
数 而 其 中 一 些 资源 确 有 不 同 的 参数 时 ， 就 需要 使 用 define 资源 将 它们 组 合 在 一 
起 。 


操作 步骤 
1. 在 配置 清单 中 添加 如 下 代码 : 


define tmpfile() ( 
file ( "/tmp/$name": 
content -&gt; "Hello, world", 
J 
} 


tmpfile { kas Gou eux E } 


2. 运行 Puppet : 


notice: /Stage[main]//Node[cookbook]/Tmpfile[a]/File[/tmp/a]/ 
ensure: defined content as '{md5}bc6e6f16b8a07 7ef5Ffbc8d59d0b931 
notice: /Stage[main]//Node[cookbook]/Tmpfile[b]/File[/tmp/b]/ 
ensure: defined content as '{md5}bc6e6f16b8a07 7ef5Ffbc8d59d0b931 
notice: /Stage[main]//Node[cookbook]/Tmpfile[c]/File[/tmp/c]/ 
ensure: defined content as '{md5}bc6e6f16b8a07 7ef5Ffbc8d59d0b931 


m 一 一 一 





工作 原理 


你 可 以 认为 define 就 像 是 一 个 饼干 切割 器 。 它 描述 了 一 种 模式 ，Puppet TAA È 
创建 许多 类 似 的 资源 。 任 何 时 候 你 都 可 以 在 你 的 配置 清单 中 声明 tmpfile 实例 ， 
Puppet 将 会 插入 包含 在 tmpfile 定义 中 的 所 有 资源 。 


在 我 们 的 例子 中 ， 名 为 tmpfile 的 define 包含 了 一 个 file 资源 ， 其 content 为 
"Hello, world" : 其 path 4 "/tmp/$name" » 如 果 你 用 名 字 foo 声明 了 一 个 tmpfile 
实例 ， 如 下 所 示 : 


tmpfile { "foo": } 
会 被 Puppet 要 创建 的 实例 名 字 所 代替 。 这 就 像 是 我 们 创建 了 一 个 新 的 资源 类 型 : 
tmpfile， 它 包含 一 个 参数 ( 即 其 名 字 ) 。 
与 常规 资源 一 样 ， 我 们 不 仅 可 以 为 其 传递 一 个 字符 串 的 名 字 ， 我 们 还 可 以 传递 一 个 


数组 名 ，Puppet 会 对 每 一 个 数组 元 素 创建 一 个 tmpfile 实例 ， 就 像 上 面 的 例子 那 
样 。 


更 多 用 法 


在 上 面 的 例子 中 ， 我 们 定义 的 define 仅 有 一 个 名 字 参 数 ， 不 同 实例 的 名 字 不 同 。 
但 是 我 们 可 以 为 其 添加 任何 我 们 想 要 的 参数 ， 只 要 我 们 在 define 中 声明 这 些 参 数 即 
可 : 


define tmpfile( $greeting ) { 
file { "/tmp/$name": 
content => $greeting, 
} 


当 我 们 声明 一 个 资源 的 实例 时 ， 可 以 为 其 传递 参数 值 ， 例 如 : 
tmpfile{ "foo": greeting => "Hello, world" } 
你 可 以 使 用 去 号 间隔 的 列表 同时 声明 多 个 参数 : 


define webapp( $domain, $path, $platform ) { 


j 
webapp ( "mywizzoapp": 
domain => "mywizzoapp.com", 
path => "/var/www/apps/mywizzoapp", 


platform => "Rails", 


这 是 对 某 些 常见 的 资源 进行 抽象 的 一 项 强大 的 技术 ， 抽 象 出 资源 之 间 的 共性 并 保存 
在 一 个 地 方 ， 你 就 不 必 每 次 都 做 重复 劳动 (Don't Repeat Yourself) 。 在 上 面 的 
例子 中 ，webapp 里 或 许 有 许多 独立 的 资源 : 软件 包 (packages) ^ Be E xt 
(config files) ^ 源码 检 出 (source code checkouts) ` Æ pu (virtual hosts) 
等 等 ， 但 是 除了 我 们 为 webapp 提供 的 参数 不 同 之 外 ， 所 有 实例 要 执行 的 工作 都 相 
同 。 这 些 可 能 会 在 模板 中 引用 ， 例 如 :为 一 个 虚拟 主机 设置 域名 。 


指定 资源 的 依赖 关系 


Remove wrapper, open mouth, insert muffin, eat. 


— Instructions on 7-11 muffin packaging 


为 确保 事物 以 正确 的 顺序 发 生 ， 你 可 以 在 Puppet 中 指定 一 个 资源 依赖 另 一 个 资 
源 ， 例 如 : 你 必须 先 安装 软件 包 X 然后 再 启动 它 提 供 的 服务 ， 因 此 应 该 标记 这 项 
服务 依赖 于 软件 包 X。 Puppet 会 按 要 求 的 顺序 排出 它 遇 到 的 所 有 依赖 。 


在 一 些 配置 管理 系统 中 ， 资 源 按照 你 的 书写 顺序 被 应 用 ， 换 句 话 说， 资源 被 应 用 的 
顺序 是 隐 式 的 。 Puppet 则 不 是 这 种 情况 ， 资 源 或 多 或 少 以 一 种 随机 (但 一 致 ) 顺 
序 被 应 用 ， 除 非 你 明确 地 使 用 依赖 关系 指出 应 用 的 顺序 。 一 些 人 更 喜欢 隐 式 的 广 
式 ， 因 为 你 可 以 按照 你 需要 的 执行 顺序 书写 资源 定义 ， 并 且 这 就 是 它们 被 执行 的 方 


式 。 


男 一 方面 ， 许 多 情况 下 资源 的 顺序 无 关 紧 要 。 使 用 隐 式 风格 的 系统 时 ， 你 不 能 明确 
地 告诉 系统 ， 资 源 B 是 否 被 写 在 了 资源 信之 后 ， 由 于 资源 B 依赖 于 人; 

写 的 顺序 是 否 正 确 ， 即 资源 信 写 在 了 资源 B 之 前 。 这 使 得 重 构 更 加 困难 ， 因 为 移 

动 资源 有 可 能 会 打破 一 些 隐 式 的 依赖 关系 。 


虽然 Puppet 会 让 你 多 做 一 点 儿 工 作 ， 就 是 预先 指定 依赖 关系 ， 但 是 这 样 产生 的 代 
码 会 更 清晰 且 更 易于 维护 。 让 我 们 看 一 个 例子 。 


操作 步骤 


1. 使 用 如 下 的 内 容 创 建 一 个 新 文件 
letc/puppet/modules/admin/manifests/ntp.pp : 


class admin::ntp { 
package ( "ntp": 
ensure -&gt; installed, 
} 


service { "ntp": 
ensure =&gt; running, 
require =&gt; Package["ntp"], 
} 


file ( "/etc/ntp.conf": 
source =&gt; "puppet:///modules/admin/ntp.conf", 
notify -&gt; Service["ntp"], 
require -&gt; Package["ntp"], 


2. 复制 已 经 存在 的 ntp.conf 文件 到 Puppet 的 如 下 目录 : 


# cp /etc/ntp.conf /etc/puppet/modules/admin/files 


3. 在 nodes.pp 中 将 admin::ntp 类 添加 到 你 的 服务 器 : 


node cookbook { 
include admin: :ntp 
} 


4. 现在 删除 系统 中 已 存在 的 ntp.conf 文件 : 
# rm /etc/ntp.conf 


5. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1302960655' 

notice: /Stage[main]/Admin: :Ntp/File[/etc/ntp.conf]/ensure: 
defined content as '{md5}3386aaad98dd5e0b28428966dac9eif5' 
info: /Stage[main]/Admin: :Ntp/File[/etc/ntp.conf]: Scheduling 
refresh of Service[ntp] 

notice: /Stage[main]/Admin: :Ntp/Service[ntp]: Triggered 'refres 
from 1 events 

notice: Finished catalog run in 2.36 seconds 


-| 网 





工作 原理 


在 本 例 中 演示 了 两 种 类 型 的 依赖 : require 和 notify。 在 第 一 种 情况 中 ，ntp 服务 要 
求 ntp 包 资 源 首先 被 应 用 : 


service { "ntp": 
ensure => running, 
require => Package["ntp"], 


在 第 二 种 情况 中 ，NTP 的 配置 文件 设置 成 了 notify (通知 ) ntp 服务 ; 换 句 话说 ， 
一 旦 发 现 配置 文件 有 变化 ，Puppet 就 应 该 使 用 新 的 配置 文件 重新 启动 ntp 服务 : 


file { "/etc/ntp.conf": 
source => "puppet:///modules/admin/ntp.conf", 
notify => Service["ntp"], 
require => Package["ntp"], 


Ww 


味 着 服务 依赖 于 配置 文件 以 及 所 安装 的 软件 包 ，Puppet 会 按照 如 下 的 正确 顺 
用 这 三 个 资源 : 


Package["ntp"] -> File["/etc/ntp.conf"] ~> Service["ntp"] 


事实 上 ， 这 是 指定 相同 依赖 关系 链 的 另 一 种 方法 。 添 加 上 面 这 行 到 你 的 配置 清单 
中 ， 就 会 产生 和 上 例 中 使 用 require 和 notify 参数 的 同样 效果 (-> 表示 require > 

~> 表示 notify) 。 然 而 ， 我 更 喜欢 使 用 require 和 notify > 因为 依赖 关系 被 定义 成 
了 资源 的 一 部 分 ， 因 此 更 容易 看 清 将 会 发 生 什 么 。 不 过 ， 对 于 复杂 的 依赖 关系 链 ， 
你 可 能 想 使 用 -> 符号 来 代替 。 


更 多 用 法 
你 也 可 以 指定 一 个 资源 依赖 于 某 个 类 : 
require => Class["my-apt-repo" ] 
你 不 仅 可 以 指定 资源 和 类 之 间 的 依赖 关系 ， 其 至 可 以 指定 collections 之 间 的 依赖 
KR: 


Yumrepo <| |> -> Package <| provider == yum |> 


这 是 一 种 功能 强大 的 表达 方式 ， 所 有 provider 是 yum 的 package 资源 被 应 用 之 
前 ， 所 有 的 yumrepo 资源 首先 都 应 该 被 应 用 。 


历史 说 明 : 


在 Puppet 2.7 版 本 之 前 ， 所 有 资源 编目 都 以 非 确 定性 的 方式 被 应 用 ， 这 意味 
着 每 次 Puppet 运行 资源 的 顺序 都 会 不 同 。 这 可 能 会 导致 一 些 有 趣 的 问题 ， 比 
如 一 个 Puppet 配置 清单 在 一 台 机 器 上 能 运行 成 功 而 在 另 一 台 机 器 上 却 运 行 失 

败 。 经 过 Puppet Labs 的 努力 ， 现 在 这 种 情况 已 经 不 会 发 生 。 现 在 Puppet 既 
保证 可 靠 成 功 ， 又 保证 可 靠 失败 ("either succeed reliably, or fail reliably") ° 

如 果 你 还 在 使 用 早期 版 本 并 且 遇 到 了 这 种 问题 ， 请 更 新 到 新 版 本 。 


使 用 节点 继承 


将 所 有 服务 器 都 放 在 一 个 篮子 里 的 系统 管理 员 是 勇敢 的 (或 者 说 是 思春 的 ) 。 比方 
说 ， 你 将 服务 器 托管 在 三 个 不 同 的 提供 商 : WreckSpace、GoDodgy 和 

VerySlow » 他 们 有 不 同 的 数据 中 心 且 分 布 在 不 同 的 地 理 位 置 ， 所 以 你 需要 对 服务 
器 配置 做 一 些小 的 改动 ， 以 适应 每 个 提供 商 。 你 有 几 种 类 型 的 服务 器 ， 它 们 随机 分 
布 在 三 个 不 同 的 提供 商 。 


使 用 Puppet 的 一 种 实现 方法 是 在 节点 定义 中 设置 一 个 变量 用 于 告知 每 个 节点 处 于 
哪个 提供 商 : 


node webserver127 { 

$provider = "VerySlow" 
include admin: :basics 
include admin::ssh 
include admin: :ntp 
include puppet::client 
include backup::client 
include webserver 


} 


node loadbalancer5 { 
$provider = "WreckSpace" 
include admin: :basics 
include admin::ssh 
include admin: :ntp 
include puppet::client 
include backup::client 
include loadbalancer 


正如 你 看 到 的 ， 结 果 中 存在 大 量 的 重复 行 。 而 使 用 下 面 的 方法 会 比 上 面 的 方法 容易 
得 多 。 例 如 : 首先 简单 地 定义 一 种 WreckSpace 节点 ， 然 后 使 用 从 这 个 节点 继承 

(inherit) 的 方法 创建 新 节点 ， 在 新 节点 中 只 需要 包含 它 要 执行 的 类 : 比如 
loadbalancer 或 webserver 即 可 。 


操作 步骤 


1. 为 所 有 的 节点 创建 一 个 基 类 ， 它 仅 包 含 每 个 节点 都 要 执行 的 类 ， 例 如 : 


node server { 
include admin: : basics 
include admin::ssh 
include admin: :ntp 
include puppet::client 
include backup::client 


WwW 


2. 通过 这 个 server 节点 创建 三 个 不 同 的 子 类 ， 每 个 子 类 都 设置 了 适当 的 provider 
变 . 


EN 


node wreckspace_server inherits server { 
$provider = "wreckSpace" 
j 


node gododgy server inherits server ( 
$provider - "GoDodgy" 
} 


node veryslow server inherits server { 
$provider = "VerySlow" 
j 


3. 现在 ， 为 了 要 在 VerySlow 创建 一 个 新 的 Web 服务 器 ， 仅 需要 从 
veryslow_server 继承 即 可 : 


node webserver904 inherits veryslow server { 
include webserver 


} 
工作 原理 
当 一 个 节 点 继承 自 另 一 个 节点 ， 它 会 应 用 父 节 点 的 所 有 配置 。 然后 你 可 以 添加 任何 
代码 ， 从 而 使 得 这 个 节点 成 为 有 别 于 其 ju BAER 点 
你 可 以 配置 一 点 继承 自 另 外 一 个 节点 ， 而 另外 一 个 节点 也 可 以 继承 自 其 它 节 点 
等 。 但 是 你 不 eod 多 个 节点 Ee ES ERR) ， 因 此 不 能 使 用 如 下 方式 定义 
节点 : 


node movable server inherits gododgy server, veryslow_server, 
wreckspace server ( 
# This won't work 


j 


更 多 用 法 


与 定义 一 个 普通 节点 一 样 ， 你 可 以 指定 一 个 节点 列表 ， 这 些 节点 都 继承 自 相 同 的 节 
Bug 
点 定义 : 


node webserveri, webserver2, webserver3 inherits wreckspace server 


j 
图 








另外 ， 你 也 可 以 使 用 正则 表达 式 匹 配 多 个 服务 器 节点 : 


node /webserver\d+.veryslow.com/ inherits veryslow_server { 


} 


参见 本 书 


o 本章 的 使 用 类 的 继承 和 重 载 一 节 


使 用 类 的 继承 和 重 载 


正如 节点 可 以 从 其 他 节点 继承 一 样 ， 这 可 以 为 相似 的 节点 复制 很 多 代码 ， 同样 的 思 
想 也 可 以 用 于 类 。 


例如 ， 假 设 你 有 一 个 管理 Apache Web 服务 器 的 apache 类 ， 你 想 要 使 用 略 有 不 同 
的 配置 文件 设置 一 台新 的 Apache 机 器 ?一 ?也 许 是 监听 的 端口 不 同 。 


你 可 以 复制 整个 apache 类 ， 除 了 配置 文件 。 另 外 ， 你 可 以 从 apache 类 中 提取 配 
置 文件 并 创建 两 个 新 类 ， 每 个 新 类 都 包含 apache 基 类 并 添加 一 个 新 版 本 的 配置 文 
件 。 


一 个 更 简洁 的 做 法 是 从 apache 类 继承 ， 而 后 仅 履 盖 其 配置 文件 。 


准备 工作 
1. 为 新 的 apache 模块 创建 目录 结构 : 


# mkdir /etc/puppet/modules/apache 
# mkdir /etc/puppet/modules/apache/manifests 
# mkdir /etc/puppet/modules/apache/files 


2. 使 用 如 下 代码 创建 /etc/puppet/modules/apache/manifests/init.pp 文件 : 


class apache { 
package ( "apache2-mpm-worker": ensure -&gt; installed } 


service ( "apache2": 
enable -&gt; true, 
ensure =&gt; running, 
require -&gt; Package["apache2-mpm-worker"], 


j 


file ( "/etc/apache2/ports.conf": 
source -&gt; "puppet:///modules/apache/port80.conf .apac 
notify -&gt; Service["apache2"], 





3. & Apache 软件 包 还 未 安装 ， 安 装 它 ， 复 制 其 包含 的 文件 ports.conf 到 
Puppet : 


# apt-get install apache2-mpm-worker 
# cp /etc/apache2/ports.conf \ 
/etc/puppet/modules/apache/files/port80.conf.apache 


4. 添加 apache 类 到 一 个 节点 ， 例 如 


node cookbook { 
include apache 
} 


. 创建 port80.conf.apache 文件 的 一 个 新 版 本 port8000.conf.apache， 并 做 如 下 
改动 : 


NameVirtualHost *:8000 
Listen 8000 


2. 使 用 如 下 内 容 创 建 一 个 新 文件 
/etc/puppet/modules/apache/manifests/port8000.pp : 


class apache: :port8000 inherits apache { 
File["/etc/apache2/ports.conf"] { 
source -&gt; "puppet:///modules/apache/port8000.conf.a 





3. 改变 你 的 节点 配置 ， 使 其 包含 apache: port8000 类 而 不 是 apache X : 


node cookbook { 
include apache: :port8000 
} 


4. 运行 Puppet 检查 它 是 否 会 按照 要 求 的 那样 发 生 改 变 : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1302970905' 

--- /etc/apache2/ports.conf 2010-11-18 14:16:23.000000000 -070€ 
+++ /tmp/puppet-file20110416-6165-pzeivi-0 2011-04-16 
10:21:47.204294334 -0600 

@@ -5,8 +5,8 @@ 

# Debian etch). See /usr/share/doc/apache2.2-common/NEWS. Debiar 
# README .Debian.gz 


-NameVirtualHost *:80 
-Listen 80 
-NameVirtualHost *:8000 
+Listen 8000 


&lt;IfModule mod ssl.c&gt; 

# If you add NameVirtualHost *:443 here, you will also have 

to change 

info: FileBucket adding /etc/apache2/ports.conf as {md5}38b31dz 
ef3640a8dfbeiff5dic4ad 

info: /Stage[main]/Apache/File[/etc/apache2/ports.conf]: 
Filebucketed /etc/apache2/ports.conf to puppet with sum 
38b31d20326f3640a8dfbei1ff5dic4ad 

notice: /Stage[main]/Apache/File[/etc/apache2/ports.conf]/conte 
content changed '{md5}38b31d20326f3640a8dfbeiff5dic4ad' to '{mc 
1d9d446f779c55f13c5fe5a7477d943 ' 

info: /Stage[main]/Apache/File[/etc/apache2/ports.conf]: 
Scheduling refresh of Service[apache2] 

notice: /Stage[main]/Apache/Service[apache2]: Triggered 'refres 
from 1 events 

notice: Finished catalog run in 4.85 seconds 


[| rec —————————— ác 





工作 原理 
让 我 们 再 看 看 这 个 新 类 : 


class apache::port8000 inherits apache { 
File["/etc/apache2/ports.conf"] { 
source => "puppet:///modules/apache/port8000.conf .apache", 
} 


} 
二 | 


你 可 以 从 类 名 后 看 出 ， 此 类 继承 (inherits) 自 apache 类 。 这 将 创建 一 个 与 
apache 类 完全 相同 的 副本 ， 除 了 跟随 其 后 的 变化 。 


如 下 的 代码 片段 : 


File["/etc/apache2/ports.conf"] { 


指定 了 我 们 想 要 改变 父 类 中 名 为 /etc/apache2/ports.conf 的 file 资源 (注意 File 是 
首 字母 大 写 的 ， 这 意味 着 ， 我 们 指 的 是 现 有 的 资源 ， 而 不 是 定义 一 个 新 资源 ) © 


如 下 的 代码 片段 : 


source => "puppet:///modules/apache/port8000.conf .apache", 


意味 着 我 们 将 使 用 一 个 新 的 值 覆盖 父 类 中 source 资源 的 参数 值 。 如 果 我 们 复制 整 
个 apache 类 的 定义 并 改变 资源 source 的 值 ， 那么 结果 将 是 完全 一 样 的 : 


class apache { 
package { "apache2-mpm-worker": ensure => installed } 


service { "apache2": 
enable => true, 
ensure => running, 
require => Package["apache2-mpm-worker"], 


} 


file { "/etc/apache2/ports.conf": 
source => "puppet:///modules/apache/port8000.conf.apache", 
notify => Service["apache2"], 


CEP 
更 多 用 法 

首先 覆盖 被 继承 的 类 看 上 去 有 些 复杂 。 然 而 一 旦 你 掌握 了 这 种 思想 ， 就 会 发 现 这 实 
际 上 很 简单 。 这 是 一 种 使 你 的 配置 清单 更 具 可 读 性 的 强大 方式 ， 因 为 这 样 消除 了 大 
量 的 重复 代码 ， 使 你 仅 专 注 于 编写 不 同 的 代码 部 分 。 下 面 给 出 几 种 使 用 履 盖 的 方 


, o 


取消 参数 的 定义 


有 时 候 你 不 想 改 变 一 个 参数 的 值 ， 只 是 想 完全 移 除 它 的 值 。 为 了 实现 这 一 点 ， 可 以 
使 用 undef 值 履 盖 原 有 值 。 其 结果 就 像 是 此 参数 从 未 在 先前 定义 过 一 样 。 


class apache: :norestart inherits apache { 
File["/etc/apache2/ports.conf"] { 
notify => undef, 


} 


使 用 > 操作 符 添加 额外 的 值 


与 替换 一 个 值 类 似 ， 你 可 能 想 要 在 父 类 定义 的 基础 上 添加 更 多 的 值 。 使 用 
plusignment 操作 符 +> 可 以 实现 这 一 功能 


class apache::ssl inherits apache { 
file { "/etc/ssl/certs/cookbook.pem": 
source => "puppet:///modules/apache/cookbook.pem", 
} 


Service["apache2"] { 
require +> File["/etc/ssl/certs/cookbook.pem"], 
} 


操作 符 +> 在 父 类 定义 的 值 的 基础 上 添加 一 个 值 (或 使 用 方 括号 括 起 来 的 一 个 数 
组 ) 。 对 于 上 面 的 例子 ， 我 们 最 终 得 到 的 代码 相当 于 : 


service { "apache2": 

enable => true, 

ensure => running, 

require => [ Package["apache2-mpm-worker"], File["/etc/ssl/cer! 
cookbook.pem"] ], 


) 





茶 用 资源 
继承 和 履 盖 最 常见 的 用 途 之 一 就 是 禁用 服务 或 其 他 资源 : 
class apache::disabled inherits apache { 
Service["apache2"] { 


enable => false, 
ensure => stopped, 


第 4 章 的 使 用 节点 继承 一 节 
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给 类 传递 参数 
有 时 对 一 个 类 的 某 些 方面 进行 Ae (parameterize) 是 很 有 用 的 。 例 如 ， 你 可 


能 需要 管理 不 同 版 本 的 gem 软件 包 ， 既 可 以 为 每 一 种 版 本 创建 分 离 的 单独 的 类 ， 
也 可 以 使 用 继承 和 覆盖， 为 一 个 类 传递 一 个 版 本 号 作为 参数 。 


操作 步骤 
1. 声明 参数 作为 如 下 类 定义 的 一 部 分 : 


class eventmachine( $version ) { 
package { "eventmachine": 
provider =&gt; gem, 
ensure =&gt; $version, 


2. 然后 在 一 个 节点 上 使 用 如 下 语法 包含 类 : 


class { "eventmachine": version =&gt; "0.12.8" } 


工作 原理 


class eventmachine( $version ) { 


与 普通 的 类 定义 一 样 ， 不 同 之 处 在 于 它 携 带 了 一 个 参数 : $version。 在 此 类 中 ， 我 
们 定义 了 如 下 的 package 资源 : 
package { "eventmachine": 


provider => gem, 
ensure => $version, 


这 是 一 个 gem 包 资 源 ， 并 且 要 求 安装 $version 版 本 的 软件 包 。 


当 你 在 一 个 节点 上 包含 这 个 类 时 ， 替换 通常 的 语法 : 


include eventmachine 


为 如 下 的 class i$ 9] : 


class { "eventmachine": version => "0.12.8" } 


这 有 相同 的 效果 ， 只 是 同时 为 参数 $version 指定 了 一 个 值 。 
更 多 用 法 
你 可 以 为 一 个 类 指定 多 个 参数 : 


class mysql( $package, $socket, $port ) { 


使 用 同样 的 方法 为 其 传递 参数 值 : 


class { "mysql": 
package => "percona-sql-server-5.0", 
socket => "/var/run/mysqld/mysqld.sock", 
port => "3306", 


你 也 可 以 为 一 些 参 数 指 定 默认 值 : 


class mysql( $package, $socket, $port = "3306" ) { 


或 者 使 用 如 下 代码 片段 为 所 有 参数 指定 默认 值 : 


class mysql( 
package = "percona-sql-server-5.0", 
socket = "/var/run/mysqld/mysqld.sock", 
port = "3306" ) { 


与 define 不 同 ， 一 个 节点 上 只 能 存在 一 个 参数 化 的 类 实例 。 所 以 当 你 需要 针对 一 
个 资源 创建 多 个 不 同 的 实例 时 ， 应 该 使 用 define 取代 类 的 参数 化 。 
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书写 可 重用 的 跨 平 台 配 置 清单 


每 个 系统 管理 员 都 梦想 着 使 用 统一 的 、 同 质 的 基础 设施 ， 相同 的 机 器 都 运行 相同 的 
操作 系统 且 其 版 本 相同 。 正如 生活 中 的 其 他 领域 一 样 ， 现 实 往往 是 凌乱 的 、 往 往 与 
理想 情况 不 符 。 


能 会 负责 管理 一 堆 使 用 年 限 不 同 、 架 构 不 同 、 运 行 不 同 发 行 版 本 的 不 同 内 核 
的 服务 器 ， 常 常 是 分 散在 不 同 的 数据 中 心 和 不 同 的 互联 网 服务 供应 商 ISP) 。 


在 这 种 情况 下 ， 会 造成 系统 管理 员 心 中 对 在 for 循环 中 执行 SSH ("SSH in a for 
loop") 的 恐惧 ， 因 为 在 每 个 服务 器 上 即使 执行 相同 的 命令 ， 也 可 能 产生 不 同 的 、 
不 可 预知 的 、 甚 至 是 危险 的 结果 。 


当然 ， 我 们 应 该 努 4 力 将 旧 服 务 器 进行 更 新 ， 并 将 一 切 尽 可 能 工作 在 一 个 单一 的 参考 

EZEL’ 从 而 使 管理 更 简单 ， 更 廉价 ， 更 可 靠 。 但 在 达到 这 一 目标 之 前 ， 我 们 可 
以 使 用 Puppet ， 它 可 以 使 我 们 更 容易 地 应 对 异 构 环境 (heterogeneous 
environments) 。 


操作 步骤 


1. 如 果 你 有 一 些 放置 在 不 同 数 据 中 心 的 服务 器 ， 这 些 服务 器 需要 略 有 不 同 的 网 络 
配置 ， 例 如 ， 使 用 节点 继承 技术 来 封装 EA 


node wreckspace server inherits server { 
include admin::wreckspace specific 
} 


a De e le Sale 其 重要 差别 
能 在 于 软件 包 名 、 服务 名 以 及 配置 文件 的 存放 位 置 。 可 以 通 过 在 一 个 类 中 使 
Es 选择 器 (selectors) 捕获 这 些 差 异 并 设置 全 局 变量 的 值 : 


$ssh_service = $operatingsystem? { 
/Ubuntu|Debian/ =&gt; "ssh", 
default =&gt; "sshd", 


之 后 你 就 不 用 担心 配置 消 单 其 他 部 分 的 差异 了 ， 当 你 要 提 及 这 些 时 ， 可 以 放心 
的 使 用 变量 ， 它 会 根据 具体 环境 正确 的 指向 相应 的 正确 值 : 


service { $ssh_service: 
ensure =&gt; running, 
} 


3. 我 们 经 常 需要 配合 不 同 的 架构 ; 这 可 能 会 影响 共享 库 的 路 径 ， 也 可 能 需要 不 同 
版 本 的 软件 包 。 同样 地 ， 尝 试 在 一 个 单一 的 architecture 类 中 封装 所 需要 的 全 
局 变量 的 值 : 


$libdir = $architecture ? { 
x86 64 -&gt; "/usr/lib64", 
default -&gt; "/usr/lib", 


之 后 在 需要 一 个 架构 相关 的 值 时 ， 你 就 可 以 引用 这 些 全 局 变量 的 值 ， 无 论 是 在 
配置 清单 中 引用 还 是 在 模板 中 引用 均 可 : 


; php.ini 

[PHP ] 

; Directory in which the loadable extensions (modules) reside. 
extension dir = &1t;%= libdir %&gt;/php/modules 


二 一条 
工作 原理 


这 种 方法 的 优点 (可 以 称 为 “ 自 上 而 下 ”) 是 你 仅 需要 进行 一 次 选择 。 田 一 种 是 自 下 
而 上 的 方法 ， 使 用 这 种 方法 ， 在 全 部 配置 清单 中 你 随处 可 见 使 用 selector 或 case 
语句 的 设置 : 


service { $operatingsystem? { 
/Ubuntu|Debian/ => "ssh", 
default => "sshd" }: 
ensure => running, 


这 不 仅 会 产生 许多 重复 代码 ， 而 且 使 代码 难于 阅读 。 另 外 ， 当 需要 管理 一 种 新 的 操 
作 系 统 时 ， 你 必须 在 所 有 的 配置 清单 中 进行 修改 ， 而 不 是 只 修改 一 处 。 


更 多 用 法 

如 果 你 正在 为 一 个 公共 的 发 布 (例如 Puppet Forge) 编写 模块 ， 使 其 尽 可 能 的 跨 
平台 会 让 模块 变 得 更 有 价值 。 尽 你 所 能 ， 在 不 同 发 布 、 不 同 平台 、 不 同 架 构 上 测 
试 ， 并 且 添 加 适当 的 变量 ， 使 模块 尽 可 能 的 应 用 到 各 种 情况 。 

如 果 你 正在 使 用 一 个 公共 模块 ， 并 修改 它 适 应 自己 的 环境 ， 如 果 你 认为 你 的 修改 可 
能 会 帮助 到 其 他 人 ， 可 以 考虑 向 公共 版 本 提交 你 的 更 新 。 


即使 你 不 想 发 布 你 的 模块 ， 请 铭记 : 一 个 模块 可 能 会 在 生产 环境 中 运行 很 长 一 段 时 
间 ， 并 且 可 能 会 对 其 做 许多 适应 环境 的 改变 。 如果 从 设计 模块 的 一 开始 就 考虑 到 
这 些 ， 那 么 你 (或 者 最 终 维 护 你 的 代码 人 ) 的 生活 将 会 变 得 更 轻松 。 


Puppet 2.7 Cookbook 中 文 版 


Always code as if the guy who ends up maintaining your code will be a violent 
psychopath who knows where you live. 


— Dave Carhart 
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获得 系统 的 环境 信息 


In Paris they simply stared when | spoke to them in French. | never did 
succeed in making those idiots understand their language. 
— Mark Twain 


当地 的 知识 是 非常 有 用 的 。 通 常 在 PUES 的 配置 清单 中 ， 你 需要 知道 一 些 所 在 机 
器 & » Puppet 的 发 行 中 包含 了 一 个 Factor 工具 ， 它 提供 了 从 环境 中 获取 
系统 信息 > ("facts') 的 一 种 标准 方法 ， 这 些 信息 包括 : 

e 操作 系统 

@ 内 存 大 小 

e 体系 结构 


e 处 理 器 数量 


要 查看 关于 你 的 系统 中 可 用 的 完整 的 facts 列表 ， 请 运行 如 下 命令 : 


# facter 


虽然 它 可 以 方便 地 从 命令 行 获得 信息 ， 但 Facter 的 丨 正 强大 之 处 在 于 ， 可 以 
在 你 的 Puppet 配置 清单 中 访问 这 些 facts 。 


操作 步骤 
1. 在 你 的 配置 清单 中 可 以 像 引用 其 他 变量 一 样 引用 一 个 Facter 的 值 ， 例 如 


notify { "This is $operatingsystem version 
$operatingsystemrelease, on $architecture architecture, kernel 
version $kernelversion": } 

s] — 1 


2. 一 旦 运行 Puppet， 它 就 会 为 当前 节点 填充 适当 的 值 : 


notice: This is Ubuntu version 10.04, on i386 architecture, 
kernel version 2.6.32 


工作 原理 


Facter 为 Puppet 提供 了 一 个 抽象 层 ， 并 在 配置 清单 中 提供 了 一 种 关于 环境 信息 的 
标准 方法 。 当 你 在 配置 清单 中 引用 一 个 fact 值 时 ，Puppet 就 会 通过 查询 Facter R 
得 当前 值 ， 并 将 其 插入 配置 清单 。 


更 多 用 法 


你 也 可 以 在 ERB 模板 中 使 用 facts。 人 例如， 你 可 能 会 在 一 个 文件 中 插入 一 个 节点 的 
主机 名 ， 或 者 基于 一 个 节点 的 内 存 大 小 改变 一 个 应 用 的 配置 设置 。 当 你 在 模板 中 
使 用 fact 的 名 字 时 ， 它 们 不 需要 前 导 的 美元 符号 ， 因 为 在 ERB 模板 中 使 用 的 是 
Ruby， 而 不 是 Puppet : 


$KLogPath <%= case kernelversion when "2.6.31" then "/var/run/rsys- 
kmsg" else "/proc/kmsg" end %> 


参见 本 书 


e 第 9 章 的 创建 Facter 的 自 定 义 fact 一 节 





导入 动态 /NA B 息 

尽管 有 些 系 统管 理 员 喜欢 将 他 们 自己 与 其 bud aurai IB. M8 
绝 ， 但 是 我 们 还 是 需要 随时 与 其 他 部 门 交换 信息 。 例如 ， 你 可 能 需要 插入 数据 到 
你 的 Puppet 配置 清单 ， a a generate 函数 在 这 
方面 相当 有 用 。 

准备 工作 

在 Puppetmaster 上 使 用 如 下 代码 创建 脚本 /usr/local/bin/latest-puppet.rb : 


#!/usr/bin/ruby 

require 'open-uri' 

page = open("http://www.puppetlabs.com/misc/download-options/").re: 
print page.match(/stable version is ([\d\.]*)/)[1] 


eee 


操作 步骤 
1. 在 你 的 配置 清单 中 添加 如 下 的 内 容 : 





$latestversion = generate("/usr/local/bin/latest-puppet.rb") 
notify { "The latest stable Puppet version is ${latestversion}. 
You're using ${puppetversion}.": } 


# puppet agent --test 
notice: The latest stable Puppet version is 2.6.5\. You're usir 


图 
工作 原理 


generate 函数 在 上 (不 是 客户 端 ) 运行 指定 的 脚本 或 程序 并 返回 结 
果 ， 在 本 例 中 ， 返 回 的 结果 是 Puppet 最 近 发 布 的 稳定 版 的 版 本 号 。 


我 不 建议 你 在 生产 环境 中 运行 此 脚本 ， 因 为 Puppet Labs 会 随时 重新 组 织 其 Web 
站 点 ， 这 会 导致 脚本 中 抓 取 的 URL 失效 ， 但 是 你 可 以 从 中 获得 些 启 发 和 想法 。 一 
个 脚本 可 以 做 的 一 切 ， 比 如 打印 、 提 取 或 者 计算 (例如 数据 库 的 查询 结果 ) 都 可 以 
使 用 generate 将 其 带 入 你 的 配置 清单 。 





值得 记 住 的 是 : dEdS EAE KR FP aR A Ruby 调用 一 样 ，generate 函数 运行 在 
Puppetmaster 上 ， 而 不 是 运行 在 Puppet 的 客户 端 节点 上 。 我 曾经 犯 过 一 个 在 模 
板 中 调用 /bin/hostname 的 错误 ， 结 果 让 我 大 吃 一 惊 的 是 ， 所 有 的 节点 名 称 都 变 成 


了 puppet 。 
当 你 需要 获得 有 关节 点 的 特别 信息 时 ， 最 好 使 用 一 个 自 定 义 的 fact 来 实现 。 


更 多 用 法 
如 果 你 在 调用 generate 时 需要 为 其 传递 参数 去 执行 ， 可 以 将 这 些 参数 作为 函数 调 
用 的 额外 参数 ， 例 如 : 


$latestpuppet = generate("/usr/local/bin/latest-version.rb", "puppe 
$latestmc = generate("/usr/local/bin/latest-version.rb", "mcollect: 


二 
你 还 可 以 使 用 generate 调用 Shell 命令 ，Puppet 的 generate 使 用 限制 特殊 字符 的 
方式 来 避免 恶意 的 Shell 调用 ， 例 如 不 能 使 用 Shell 的 管道 符 (|) 。 最 简单 而 安全 
的 办 法 就 是 将 你 所 有 的 逻辑 写 到 一 个 脚本 中 ， 然 后 使 用 generate 调用 此 脚本 。 





参见 本 书 
e 本 章 的 从 CSV 文件 导入 数据 一 节 


从 CSV 文件 导入 数据 


想 要 知道 更 多 东西 吗 ? 当 你 需要 从 表 中 查找 茶 些 值 时 ， 可 以 使 用 宛 长 的 case 14 4 
或 selectors 实现 ， 但 更 整洁 的 方式 是 使 用 extlookup 函数 实现 。 在 puppetmaster 
上 可 以 使 用 extlookup xk 474 hèt CSV 文件 ， 并 返回 匹配 的 数据 片段 。 


将 所 有 数据 组 织 到 一 个 单一 的 文件 并 将 它 从 Puppet 配置 清单 中 分 离 出 来 ， 可 以 使 
维护 工作 变 得 更 简单 ， 也 便于 与 其 他 人 分 享 : 例如 ， 一 个 开发 团队 通过 部 署 合适 的 
CSV 文件 作为 应 用 程序 发 布 的 一 部 分 ， 就 可 以 管理 需要 知道 的 有 关 其 应 用 
程序 的 一 切 。 Puppet 只 需要 知道 在 哪里 可 以 找到 这 个 CSV 文件 ， 剩 下 的 工作 交 由 
extlookup 去 完成 。 


准备 工作 
1. 使 用 如 下 内 容 创建 warwww/apps/common.csv 文件 : 


path, /var/www/apps/%{name } 
railsversion, 3 
domain, www.%{name}.com 


2. 使 用 如 下 内 容 创建 varwww/apps/myapp.csv 文件 : 


railsversion, 2 


操作 步骤 
1. 在 你 的 配置 清单 中 添加 如 下 代码 : 


$extlookup_datadir = "/var/www/apps/" 
$extlookup_precedence = [ "%{name}", "common" ] 


class app( $name ) { 
$railsversion = extlookup("railsversion") 
$path = extlookup("path") 
$domain = extlookup("domain" ) 
notify { "App data: Path ${path}, Rails version 
${railsversion}, domain ${domain}": } 


} 


class { "app": name -&gt; "myapp" } 


2. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1303129760' 

notice: App data: Path /var/www/apps/myapp, Rails version 2, 
domain www.myapp.com 

notice: /Stage[main]/App/Notify[App data: Path /var/www/apps/ 
myapp, Rails version 2, domain www.myapp.com]/message: defined 
'message' as 'App data: Path /var/www/apps/myapp, Rails versior 
domain www.myapp.com' 

notice: Finished catalog run in 0.58 seconds 


‘| 








工作 原理 


1. 我 们 做 的 第 一 件 事 是 定义 一 个 变量 $extlookup_datadir， 它 告诉 extlookup 从 
哪个 目录 查找 数据 文件 。 你 通常 会 在 site.pp 或 者 在 你 设置 全 局 变量 的 文件 中 
设置 这 个 变量 : 


$extlookup_datadir = "/var/www/apps/" 


2. 然后 ， 我 们 告诉 extlookup 在 哪里 寻找 数据 文件 ， 以 及 寻找 的 优先 顺序 : 


$extlookup_precedence = [ "%{name}", "common" ] 


这 可 以 是 任意 长 度 的 数组 。 当 我 们 生成 一 个 extlookup £14" > Puppet 会 按 顺 
序 扫描 每 个 文件 ， 直 到 找到 请 求 的 值 。 文 件 名 可 以 包含 变量 。 我 们 期 望 名 为 
$name 的 变量 已 经 被 设置 ，Puppet 将 会 使 用 其 值 作 为 要 查找 的 第 一 个 文件 

名 。 


3. 下 一 步 ， 在 app 类 中 ， 调 用 extlookup 获得 一 个 值 : 


$railsversion = extlookup("railsversion" ) 


现在 extlookup 装置 查找 一 个 CSV 文件 并 从 中 读 取 数据 。 这 个 文件 保存 在 
$extlookup_datadir 目录 (在 本 例 中 是 /var/wwwlapps) ,文件 名 为 % 
{name}.csv (在 本 例 中 是 myapp.csv) 。 所 以 extlookup 读 取 文件 的 完整 路 径 
是 /var/www/apps/myapp.csv ， 此 文件 包含 了 railsversion,2 


我 们 已 经 找到 了 所 需要 的 值 (2) ， 所 以 extlookup 将 其 返回 。 
4. 下 一 个 extlookup 调用 就 不 那么 幸运 了 : 


$path = extlookup("path") 


extlookup 还 是 首先 查找 文件 myapp.csv， 但 是 它 找 不 到 匹配 path 变量 的 值 。 
所 以 会 查找 $extlookup_precedence 列表 中 的 下 一 个 文件 , 即 文 件 
common.csv : 


path, /var/www/apps/%{name } 

railsversion, 3 

domain, www.%{name}.com 

就 本 例 而 言 返 回 值 为 var/www/apps/myapp。 

你 可 以 看 到 ， 这 允许 我 们 在 common.csv 文件 中 设置 一 个 默认 值 的 集合 AME 
用 程序 都 可 以 选择 其 自己 的 myapp.csv LHR & common.csv 文件 中 的 默认 值 。 
extlookup 会 依次 查询 列 在 $extlookup_precedence 中 的 文件 ， 直 到 其 找到 请 求 的 
值 。 由 于 myapp.csv 被 列 在 首位 ， 所 以 设置 在 其 中 的 任何 值 都 优先 于 文件 
common.csv 中 的 。 
更 多 用 法 
你 也 可 以 在 extlookup 调用 中 指定 默认 值 ， 当 在 所 有 的 CSV 文件 中 都 没有 找到 匹 
配 的 数据 时 就 会 使 用 这 个 默认 值 : 


$path = extlookup("path", "/var/www/misc" ) 


你 还 可 以 指定 在 查找 $extlookup_precedence 所 列 的 文件 之 前 首先 要 查找 的 CSV 
x: 


$path - extlookup("path", "/var/www/misc", "paths") 


这 首先 在 paths.csv 文件 中 查找 数据 ， 如 果 没 找到 ， 将 会 依次 查找 列 在 
$extlookup_precedence 中 的 其 他 文件 。 
CSV 文件 中 的 值 也 可 以 引用 变量 ， 正 如 我 们 曾经 看 到 的 : 

domain, www.%{name}.com 


你 可 以 使 用 当前 范围 内 可 用 的 任何 变量 ， 包 括 Facter 检测 出 的 facts 值 : 


domain, %{fqdn} 


R.I. Pienaar 4 x: # “Complex data and Puppet" 是 对 extlookup 的 一 个 很 好 的 介 
#3 : http://www.devco.net/archives/2009/08/31/complex data and puppet.php ° 


Jordan Sissel 曾经 写 过 “about configuring your whole infrastructure using 
extlookup" : http://sysadvent.blogspot.com/2010/12/day-12-scaling- 
operabilitywith-truth.html ° 


e 本章 的 导入 动态 信息 一 节 


A 


e 第 9 章 的 创建 Facter 的 自 定义 fact 一 节 


给 Shell 命令 传递 参数 


如 果 你 需要 在 命令 行 下 插入 一 个 值 ， 通 常 需 要 使 用 引号 将 其 括 起 来 ， 尤 其 是 当 其 包 
钨 空格 时 更 是 如 此 。 shellquote 元 数 可 以 携带 任意 数量 的 参数 (包括 数组 ) ， 它 会 
使 用 引号 将 每 个 参数 都 括 起 来 并 返回 一 个 可 以 传递 到 Shell 命令 行 上 的 以 空格 间隔 

的 字符 串 。 

在 下 面 的 例子 中 ， 我 们 想 要 创建 一 个 用 于 文件 改名 的 exec 资源 ， 然 而 源 文件 名 和 

目标 文件 名 都 包含 空格 ， 因 此 在 命令 行 上 需要 正确 地 使 用 引号 将 它们 括 起 来 。 


操作 步骤 
1. 在 你 的 配置 清单 中 添加 如 下 的 代码 : 


$source = "Hello Jerry" 

$target = "Hello... Newman" 

$argstring = shellquote( $source, $target ) 
$command = "/bin/mv ${argstring}" 


notify { $command: } 


2. 运行 Puppet : 


notice: /bin/mv "Hello Jerry" "Hello... Newman" 


工作 原理 


1. 首先 我 们 定义 了 $source 和 $target 两 个 变量 ， 它 们 的 值 是 将 要 在 命令 行 上 使 
用 的 两 个 文件 名 : 


$source 
$target 


"Hello Jerry" 
"Hello... Newman" 


2. 然后 我 们 调用 shellquote 串 连 两 个 变量 为 一 个 以 空格 间隔 的 使 用 引号 将 每 个 变 
量 值 括 起 来 的 字符 串 : 


$argstring = shellquote( $source, $target ) 
3. 然后 将 这 其 组 织 到 一 起 ， 形 成 最 终 的 命令 行 : 


$command = "/bin/mv ${argstring}" 


/bin/mv "Hello Jerry" "Hello... Newman" 


. 现在 可 以 使 用 exec 资源 执行 这 个 命令 行 了 。 若 我 们 没有 使 用 shellquote 会 发 
生 什 么 ? 


$source "Hello Jerry" 

$target "Hello... Newman" 

$command = "/bin/mv ${source} ${target}" 
notify { $command: } 


notice: /bin/mv Hello Jerry Hello... Newman 


这 将 无 法 工作 ， 因 为 mv 命令 期 望 以 空格 间隔 的 参数 ， 所 以 mv 将 参数 解释 为 
请 求 移动 的 三 个 文件 : Hello、Jerry 和 Hello... 以 及 移动 的 目标 目录 
Newman， 这 可 不 是 我 们 想 要 的 结果 。 


使 用 文件 和 软件 包 

If builders built buildings the way programmers wrote programs, then the first 

woodpecker that came along would destroy civilization. 

— Gerald Weinberg 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 

。 为 配置 文件 添加 配置 行 

e 使 用 Augeas 自动 修改 配置 文件 

e 使 用 配置 片段 构建 配置 文件 

e 使 用 ERB 模板 

e 在 模板 中 遍历 数组 

e. 从 第 三 方 仓库 安装 软件 包 

e 配置 APT 软件 仓库 

e 配置 GEM 仓库 

o 从 源码 包 自 动 构建 软件 

e 比较 软件 包 的 版 本 
作为 Puppet 系统 管理 员 ， 你 所 涉及 的 最 多 的 管理 工作 就 是 文件 和 包 。 文件 和 包 是 
Puppet 中 最 重要 的 两 种 资源 ， 本 章 将 帮助 你 深入 了 解 它们 ， 并 学 习 一 些 有 用 的 功 
能 和 模式 ， 以 帮助 你 更 好 地 使 用 它们 。 


在 本 章 中 ， 我 们 将 看 到 : 如 何 对 文件 做 轻微 地 编辑 ; 如 何 利 用 Augeas 工具 以 结 
构 化 的 方式 实现 大 规模 的 改变 ; 如 何 串 联 片 段 构 建文 件 ; 以 及 如 何 从 模板 生成 文 
件 。 我 们 还 将 学 习 ， 如 何 从 额外 的 仓库 安装 包 ， 以 及 如 何 创 建 这 些 仓库 。 


为 配置 文件 添加 配置 行 


你 知道 Puppet 能 做 微 创 手术 吗 ? 通常 ， 我 们 不 希望 将 整个 配置 文件 交 由 Puppet 
管理 而 仅仅 是 在 配置 文件 中 添加 薪 项 设置 ?一 ?尤其 是 如 果 该 文件 是 由 别人 管理 ， 我 
们 不 能 覆盖 它 的 情况 。 一 种 简单 而 有 用 的 方法 是 ， 如 果 配 置 文件 中 不 存在 指定 的 行 
就 添加 这 行 配置 o 例如: 添加 一 个 内 核 模块 名 到 配置 文件 /etc/modules 告知 内 核 
在 启动 时 加 载 此 模块 。 


你 可 以 使 用 一 个 exec 资源 达成 此 任务 。 下 面 的 例子 将 展示 如 何 使 用 exec 向 一 个 文 
Ri&Gu—HER- 


ERNE HY 


1. 使 用 如 下 内 容 创 建 /etc/puppet/manifests/utils.pp 文件 : 





define append_if_no_such_line($file, $line) { 
exec ( "/bin/echo '$line' &gt;&gt; '$file'": 
unless =&gt; "/bin/grep -Fx '$line' '$file'", 
J 


2. 添加 如 下 行 到 /etc/puppet/manifests/site.pp 文件 : 


import "utils.pp" 


3 添加 如 下 代码 到 你 的 配置 清单 : 


append if no such line { "enable-ip-conntrack": 
file -&gt; "/etc/modules", 
line -&gt; "ip conntrack", 





4. 运行 Puppet : 


puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1303649606' 

notice: /Stage[main]//Node[cookbook]/Append if no such 
line[enable-ip-conntrack]/Exec[/bin/echo 'ip conntrack' &gt;&gt 
modules']/returns: executed successfully 

notice: Finished catalog run in 1.22 seconds 








‘| 





工作 原理 
exec 资源 将 追加 指定 的 文本 Sline 到 文件 $file， 除 非 它 已 经 存在 : 


exec { "/bin/echo '$line' >> '$file'": 
unless => "/bin/grep -Fx '$line' '$file'", 


IÆ > append if no such line 资源 已 经 可 以 在 你 的 配置 清单 中 使 用 了 。 在 本 例 
中 ， 我 们 已 经 使 用 它 确保 /etc/modules 文件 (此 文件 指定 在 启动 过 程 中 需要 加 载 哪 
些 内 核 模块 ) 包含 如 下 的 行 : 


ip_conntrack 


更 多 用 法 
类 似 的 ， 你 可 以 使 用 define 郊 数 对 文本 文件 执行 其 他 细小 的 操作 。 例 如 ， 下 面 的 
代码 片段 可 以 让 你 在 文本 文件 中 执行 查找 和 替换 的 操作 : 


define replace matching line( $match, $replace ) ( 
exec ( "/usr/bin/ruby -i -p -e 'sub(%r{$match}, \"$replace\")' 
$name" : 
onlyif => "/bin/grep -E '$match' $name", 
logoutput -» on failure, 


j 


replace matching line ( "/etc/apache2/apache2.conf": 
match => "LogLevel .*", 
replace => "LogLevel debug", 


rr Ll 


参见 本 书 


e 本 章 的 使 用 Augeas 自动 修改 配置 文件 一 节 


使 用 Augeas 自动 修改 配置 文件 


当然 ， 有关 标 准 的 事物 是 如 此 之 多 。 有 时 每 个 应 用 程序 的 配置 格式 都 略 有 不 同 ， 书 
写 正则 表达 式 来 解析 和 修改 所 有 这 些 配 置 文件 是 一 项 很 烦人 的 工作 。 


幸好 Augeas 在 这 方面 可 以 帮助 我 们 。Augeas 是 一 个 旨 在 简化 使 用 不 同 配置 文件 
格式 工作 的 工具 ， 它 将 不 同 格式 的 配置 文件 统一 呈现 为 一 个 简单 的 包含 所 有 配置 项 
的 树 状 结构 。 Puppet 的 Augeas 支持 允许 你 创建 augeas 资源 ， 它 可 以 智能 地 自 
动 地 为 所 需 的 配置 做 相应 的 改变 。 


准备 工作 


在 使 用 Augeas 之 前 需要 先 安装 它 。 如 下 的 Puppet 代码 将 添加 Augeas 到 你 的 配 
E 


1. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/admin/manifests/augeas.pp 文件 : 


class admin::augeas { 
package ( [ "augeas-lenses", 
"augeas-tools", 
"libaugeasO", 
"libaugeas-ruby1.8" ]: 
ensure -&gt; "present" 


2. 在 一 个 节点 上 包含 此 类 : 


node cookbook { 
include admin: :augeas 
} 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1303657095' 

notice: /Stage[main]/Admin: :Augeas/Package[augeas-tools ]/ensure 
ensure changed 'purged' to 'present' 

notice: Finished catalog run in 21.96 seconds 


«| 











操作 步骤 


1. 使 用 如 下 内 容 创 建 /etc/puppet/modules/admin/manifests/ipforward.pp 文件 : 


class admin::ipforward { 
augeas { "enable-ip-forwarding": 
context =&gt; "/files/etc/sysctl.conf", 
changes =&gt; [ 
"set net.ipv4.ip forward 1", 
] 


2. k&—4- 43 & LX : 


node cookbook { 
include admin: :augeas 
include admin: :ipforward 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1303729376' 


notice: /Stage[main]/Admin::Ipforward/Augeas[enable-ipforwardir 
returns: executed successfully 


notice: Finished catalog run in 3.53 seconds 


国王 





4. 使 用 如 下 命令 检查 配置 是 否 生 效 : 


# sysctl -p |grep forward 
net.ipv4.ip forward = 1 


工作 原理 
下 面 将 描述 前 面 的 代码 是 如 何 工作 的 : 


1. 我 们 声明 了 一 个 名 为 enable-ip-forwarding 的 augeas 资源 : 


augeas { "enable-ip-forwarding": 


2. 我 们 指定 要 实施 改变 的 文件 /etc/sysctl.conf : 


context =&gt; "/files/etc/sysctl.conf", 


3. 将 我 们 需要 改变 的 设置 作为 一 个 数组 (本 例 中 只 有 一 个 数组 元 素 ) 传递 给 
changes 参数 : 


changes =&gt; [ 
"set net.ipv4.ip forward 1", 


]， 


通常 使 用 Augeas 改变 设置 需 用 如 下 的 格式 : 


set &lt;parameter&gt; &lt;value&gt; 


Augeas 使 用 一 套 名 为 lenses 的 转换 文件 ， 使 其 能 够 为 给 定 的 配置 文件 以 适当 
的 格式 改写 设置 。 在 本 例 中 ， 此 设置 将 转换 为 /etc/sysctl.conf 文件 中 的 如 下 一 
f 


net.ipv4.ip forward-1 


更 多 用 法 


之 所 以 使 用 /etc/sysctl.conf 文件 做 例子 ， 是 因为 它 包含 了 各 种 各 样 的 内 核 设 置 ， 你 
可 能 想 要 在 不 同 的 Puppet 类 中 国 各 种 不 同 的 目的 而 改变 这 些 设 置 。 在 前 面 的 例子 
中 ， 我 们 为 一 个 路 由 器 的 类 启用 了 IP 转发 ， 然 而 你 也 可 以 为 一 个 负载 均衡 的 类 调 
整 net.core.somaxconn 的 值 。 


这 意味 着 简单 地 对 /etc/sysctl.conf <#“Puppetit” ("Puppetizing") 并 分 发 它 不 能 
胜任 所 有 的 情况 ， 因 为 你 要 修改 的 设置 根据 不 同 的 服务 需求 可 能 会 有 不 同 ， 从 而 引 
发 版 本 冲突 。Augeas 则 是 这 种 情况 的 正确 解决 方案 ， 因 为 你 可 以 在 不 同 的 位 置 定 
义 augeas 资源 去 修改 相同 的 配置 文件 ， 这 样 就 不 会 引起 冲突 。 


Augeas 是 个 强大 的 工具 ， 使 用 lenses 可 以 转换 绝 大 多 数 标准 的 Linux 配置 文件 ， 
而 且 如 果 需 要 管理 自己 的 专 有 格式 的 配置 文件 ， 你 也 可 以 书写 自己 的 专 有 配置 格 
式 。 更 多 关于 使 用 Puppet 和 Augeas 的 信息 ， 请 访问 Puppet Labs 的 wiki 页 面 : 
http://projects.puppetlabs.com/projects/1/wiki/Puppet_Augeas ° 


使 用 配置 片段 构建 配置 文件 


你 怎 能 一 口吃 头 大 象 呢 ?有 时 你 会 遇 到 这 种 情况 ， 想 要 从 被 不 同类 管理 的 各 种 片段 
构建 单一 的 配置 文件 。 例如， 你 可 能 有 两 到 三 个 服务 需要 rsync 模块 配置 ， 因 此 你 
不 能 只 发 布 单一 的 配置 文件 rsyncd.conf。 尽管 你 可 以 使 用 Augeas， 但 是 一 种 更 简 
单 的 方法 就 是 使 用 exec 资源 将 若干 配置 片段 囊 接 成 一 个 文件 。 


操作 步骤 


1. 使 用 如 下 代码 创建 letc/puppet/modules/admin/manifests/rsyncdconf.pp 3c 
件 : 


class admin::rsyncdconf { 
file { "/etc/rsyncd.d": 
ensure =&gt; directory, 
} 


exec { "update-rsyncd.conf": 
command =&gt; "/bin/cat /etc/rsyncd.d/*.conf &gt; /etc/ 
refreshonly =&gt; true, 





2， 添 加 如 下 代码 到 你 的 配置 清单 : 


class myapp::rsync { 
include admin: :rsyncdconf 


file { "/etc/rsyncd.d/myapp.conf": 
ensure =&gt; present, 
source =&gt; "puppet:///modules/myapp/myapp.rsync", 
require =&gt; File["/etc/rsyncd.d"], 
notify =&gt; Exec["update-rsyncd.conf"], 
n 
y 


include myapp::rsync 


3. 使 用 如 下 内 容 创 建 letc/puppet/modules/myapp/files/myapp.rsync 文件 : 


[myapp] 
uid myappuser 
gid myappuser 
path - /opt/myapp/shared/data 
comment = Data for myapp 
list - no 
read only - no 
auth users - myappuser 


4. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1303731804' 

notice: /Stage[main]/Admin::Rsyncdconf/File[/etc/rsyncd.d]/enst 
created 

notice: /Stage[main]/Myapp::Rsync/File[/etc/rsyncd.d/myapp.conf 
ensure: defined content as '(md5jei1e57cf38bb88a7b4f2fd6eb1ea282 
info: /Stage[main]/Myapp::Rsync/File[/etc/rsyncd.d/myapp. conf]: 
Scheduling refresh of Exec[update-rsyncd.conf] 

notice: /Stage[main]/Admin::Rsyncdconf/Exec[update-rsyncd.conf ] 
Triggered 'refresh' from 1 events 

notice: Finished catalog run in 1.01 seconds 


B ————— — X ———Óse sen 





工作 原理 


admin::rsyncdconf 类 为 存放 rsync 的 配置 片段 创建 了 如 下 目录 : 


file { "/etc/rsyncd.d": 
ensure => directory, 
} 


当 你 创建 一 个 配置 片段 (例如 本 例 中 的 myapp::rsync) ， 你 要 做 的 所 有 工作 就 是 
require 这 个 目录 (require => File["/etc/rsyncd.d"]) 并 notify 资源 exec 更 新 主 配置 
文件 (notify => Exec["update-rsyncd.conf"],) 。 


只 要 /etc/rsyncd.d 目录 中 有 一 个 配置 片段 被 更 新 ，exec 资源 就 会 执行 一 次 : 
exec { "update-rsyncd.conf": 


command => "/bin/cat /etc/rsyncd.d/*.conf > /etc/rsyncd.cor 
refreshonly => true, 








这 样 ，/etc/rsyncd.d 目录 中 的 所 有 配置 片段 将 会 串 接 成 一 个 rsyncd.conf 文件 。 

这 是 非常 有 用 的 ， 原 因 在 于 你 可 以 有 许多 不 同 的 片段 资源 散布 在 各 个 不 同 的 类 或 模 
块 中 ， 所 有 这 些 片段 最 终 都 将 被 合并 成 单一 的 rsyncd.conf 文件 ， 而 你 却 可 以 在 一 
个 地 方 实现 配置 代码 的 合并 。 

更 多 用 法 

当 你 有 一 个 像 rsync 这 样 的 服务 且 在 一 个 配置 文件 中 需要 包含 不 同 的 片段 时 ， 这 会 
是 一 种 很 有 用 的 模式 。 实际 上 ， 这 为 你 提供 了 类 似 于 Apache 的 conf.d 目录 或 
PHP 的 php-ini.d 目录 的 功能 。 

参见 本 书 


e 第 2 章 的 Usingtags 一 节 


使 用 ERB 模板 


模板 (template) 是 一 种 高 级 别 的 文本 文件 。 它 可 以 做 计算 、 执 行 Ruby 代码 或 者 
引用 你 在 Puppet 配置 清单 中 定义 的 变量 值 。 能 被 Puppet 部 署 的 任何 一 个 文本 文 
件 ， 你 都 可 以 使 用 模板 来 代替 。 最 简单 的 情况 ， 一 个 模板 可 以 仅 是 一 个 静态 文本 文 
件 。 更 有 用 的 情况 是 ， 你 可 以 使 用 ERB (AÑ Ruby) 语法 在 模板 中 插入 变 
量 。 例 如 : 


<%= name %>, this is a very large drink. 


如 果 模 板 使 用 了 变量 $name， 其 值 为 Zaphod Beeblebrox， 模 板 将 解析 为 : 


Zaphod Beeblebrox, this is a very large drink. 


这 种 简单 的 技术 非常 有 用 ， 一 种 情形 是 要 生成 一 批文 件 且 它们 仅 有 一 两 个 变量 的 值 
不 同 (例如 虚拟 主机 的 配置 文件 ) : 另 一 种 情形 是 要 向 一 个 脚本 中 插入 值 (例如 数 
据 库 名 或 口令 ) 。 在 下 面 的 例子 中 ， 我 们 将 使 用 一 个 ERB 模板 插入 口令 到 一 个 备 
份 脚本 。 


操作 步骤 


1. 使 用 下 面 的 内 容 创建 /etc/puppet/modules/admin/templates/backup-mysql.sh 
文件 : 


#!/bin/sh 
/usr/bin/mysqldump -uroot -p&lt;%= mysql password %&gt; --all-c 
| /bin/gzip &gt; /backup/mysql/all-databases.sql.gz 


BE 





2. pote FARA 5| E UI EGER A: 


$mysql password - "secret" 

file ( "/usr/local/bin/backup-mysql": 
content -&gt; template("admin/backup-mysql.sh"), 
mode -&gt; "755", 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1308670971' 

notice: /Stage[main]//Node[cookbook]/File[/usr/local/bin/backur 
ensure: defined content as '{md5}5853b6d4dd72420e341fa7ecb8 
91ad43' 

notice: Finished catalog run in 0.96 seconds 


‘| 








4. 检查 Puppet 是 否 已 经 在 模板 中 正确 地 插入 了 口令 : 


# cat /usr/local/bin/backup-mysql 


#!/bin/sh 
/usr/bin/mysqldump -uroot -psecret --all-databases \ 
| /bin/gzip &gt; /backup/mysql/all-databases.sql.gz 


工作 原理 


在 模板 中 ， 无 论 在 哪里 引用 了 变量 (例如 <%= mysql password 96») > Puppet 
都 会 使 用 相应 的 值 (例如 secret) 替换 它 。 


更 多 用 法 
在 本 例 中 ， 我 们 仅 在 模板 中 使 用 了 一 个 变量 ， 但 是 只 要 你 需要 可 以 引用 许多 变量 。 
它们 也 可 以 是 对 facts 的 引用 ， 例 如 : 
ServerName <%= fqdn %> 
或 者 使 用 Ruby 表达 式 ， 例 如 : 
MAILTO=<%= emails.join(',') %> 
或 者 你 要 使 用 的 任何 Ruby 代码 ， 例 如 : 


ServerAdmin <%= sitedomain == 'coldcomfort.com' ? 'seth@coldcomfori 
'floraQposte.com' %> 
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在 模板 中 遍历 数组 


在 前 面 的 例子 中 ， 我 们 已 经 看 到 使 用 Ruby 可 以 根据 表达 式 的 结果 插入 不 同 的 值 。 
你 也 可 以 使 用 循环 对 数组 中 的 每 个 元 素 生成 内 容 。 


BE 
1. 添加 如 下 代码 到 你 的 配置 清单 : 


$ipaddresses = [ '192.168.0.1', 
'158.43.128.1', 
'10.0.75.207' ] 


file { "/tmp/addresslist.txt": 
content -&gt; template("admin/addresslist.erb") 
} 


2. 使 用 如 下 内 容 创 建 /etc/puppet/modules/admin/templates/addresslist.erb 3c 
件 : 


&1t;% ipaddresses.each do |ip| -%&gt; 
IP address &lt;%= ip %&gt; is present. 
&1t;% end -%&gt; 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1304766335' 

notice: /Stage[main]//Node[cookbook]/File[/tmp/addresslist.txt] 
ensure: defined content as '{md5}7ad1264ebdae101bb5ea0afef474be 
notice: Finished catalog run in 0.64 seconds 





4. 检查 生成 文件 的 内 容 : 


# cat /tmp/addresslist.txt 

IP address 192.168.0.1 is present. 

IP address 158.43.128.1 is present. 
IP address 10.0.75.207 is present. 


工作 原理 


1. 在 模板 的 第 一 行 ， 我 们 引用 了 一 个 数组 ipaddresses， 并 调用 了 相应 的 each 方 
法 : 


&1t;% ipaddresses.each do |ip| -%&gt; 


2. 使 用 Ruby 创建 的 这 个 循环 将 对 数组 中 的 每 个 元 素 执行 一 次 。 每 循环 一 次 ， 变 
量 ip 将 会 设置 成 数组 当前 元 素 的 值 。 


3. 在 我 们 的 例子 中 ，ipaddresses 数组 包含 三 个 元 素 ， 所 以 下 面 的 行将 执行 三 
次 ， 对 每 个 数组 元 素 执 行 一 次 : 


IP address &lt;%= ip %&gt; is present. 


4. 结果 将 产生 如 下 三 行内 容 : 


IP address 192.168.0.1 is present. 
IP address 158.43.128.1 is present. 
IP address 10.0.75.207 is present. 


5. 最 后 一 行 是 循环 的 结束 : 


&1t;% end -%&gt; 


6. 注意 循环 的 第 一 行 和 最 后 一 行 都 以 -%> 结束 ， 而 不 是 我 们 以 前 所 看 到 的 以 %> 
结束 。 使 用 - 的 作用 是 要 抑制 换行 ， 否 则 会 产生 换行 符 ， 即 在 文件 中 产生 无 用 
的 空白 行 。 


更 多 用 法 
模板 也 可 以 遍历 输 希 ， 或 哈 希 数组 ， 例 如 : 


$interfaces = [ { name => "eth0'， 
ip => '192.168.0.1' }, 
{ name => 'eth1', 
i e ae $25 T. 
{ name => 'eth2', 
ip => '10.0.75.207' } ] 


<% interfaces.each do |interface| -%> 
Interface <%= interface['name'] %> has the address <%= interface[': 
<% end -%> 











Interface ethO has the address 192.168.0.1. 
Interface ethi has the address 158.43.128.1. 
Interface eth2 has the address 10.0.75.207. 


参见 本 书 


e 第 5 章 的 使 用 ERB 模板 一 节 


从 第 三 方 仓 库 安 装 软 件 包 


大 多 数 情 况 下 ， 你 会 从 发 行 版 本 的 官方 仓库 安装 软件 包 ， 所 以 使 用 简单 的 package 
资源 就 可 以 做 到 : 


package { "exim4": ensure => installed } 


fe ， 有 时 你 需要 的 软件 包 只 能 在 第 三 方 仓库 (例如 Ubuntu PPA) 中 找到 。 或 者 
是 第 三 方 仓库 提供 的 软件 包 版 本 比 官方 仓库 中 的 软件 包 新 。 


对 于 手工 管理 的 主机 ， 你 通常 需要 在 安装 软件 包 之 前 先 添加 仓库 源 配 置 到 
/etc/apt/sources.list.d nin ， 还 应 该 导入 仓库 的 GPG AA) 。 我 们 可 以 
很 容易 地 使 用 Puppet 自动 完成 这 个 过 程 。 

tee Y 3 


1. 添加 如 下 代码 到 你 的 配置 清单 : 


package { "python-software-properties": ensure =&gt; installed 


exec { "/usr/bin/add-apt-repository ppa:mathiaz/puppet -backport 
creates =&gt; "/etc/apt/sources.list.d/mathiaz-puppet-back 
list”, 
require =&gt; Package["python-software-properties"], 





2. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1304773240' 

notice: /Stage[main]//Node[cookbook]/Exec[/usr/bin/add-aptrepos 
ppa:mathiaz/puppet-backports]/returns: executed 

successfully 

notice: Finished catalog run in 5.97 seconds 


[i a: 





工作 原理 


1. python-software-properties 软件 包 提供 了 add-apt-repository 命令 ， 使 用 此 命 
令 可 以 简化 添加 额外 的 软件 仓库 源 配 置 的 过 程 : 


package { "python-software-properties": ensure =&gt; installed 








4 
. 然后 我 们 使 用 exec 资源 调用 这 个 命令 添加 要 求 的 配置 





exec { "/usr/bin/add-apt-repository ppa:mathiaz/puppet-backport 





‘| 





3. 确保 Puppet 不 会 在 每 次 运行 时 都 执行 这 个 exec 资源 ， 我 们 指定 定 了 一 个 由 此 命 
令 创 建 的 文件 ， 如 果 此 文件 已 经 存在 ， 则 Puppet 就 会 忽略 exec 资源 的 执 
行 : 


creates =&gt; "/etc/apt/sources.list.d/mathiaz-puppet-backports 
n] m—— — —— —————— — ee | 


你 可 能 想 要 将 这 个 内 容 与 清除 letc/apt/sources. list.d Yo 需要 的 仓库 定义 相 结 
合 ， 正 如 本 书 使 用 文件 资源 递归 地 分 发 整个 目录 树 一 节 中 所 描述 的 。 





更 多 用 法 

这 种 处 理 仓库 的 方法 是 针对 Debian 和 Ubuntu 系统 的 ， 我 们 之 前 说 过 ， 这 是 本 书 
使 用 的 参考 平台 。 如 果 你 使 用 的 是 基于 Red Hat 的 系统 ， 你 可 以 直接 使 用 
yumrepo 资源 管理 RPM 仓库 。 


参见 本 书 
e 第 6 章 的 使 用 文件 资源 递归 地 分 发 整个 目录 树 一 节 


配置 APT 软件 仓库 


运行 自己 的 软件 仓库 有 几 个 优点 。 你 可 以 在 自己 的 仓库 中 发 布 自己 的 软件 包 。 你 可 
以 在 自己 的 软件 仓库 中 放置 上 游 软件 包 或 第 三 方 软件 包 ， 从 而 控制 你 使 用 的 软件 版 
本 。 你 可 以 将 自己 的 软件 仓库 放置 在 其 他 服务 器 附近 ， 从 而 避免 网 速 缓慢 或 镜像 站 
点 无 法 访问 的 问题 。 


即使 你 不 需要 创建 自己 的 软件 包 ， 也 可 能 想 要 下 载 特定 版 本 软件 包 所 需 的 关键 依赖 
包 ， 并 将 这 些 依 赖 包 存储 在 自己 的 仓库 中 ， 从 而 防止 因 上 游 发 生变 故而 产生 的 任何 
意外 (例如 ， 你 的 发 行 版 本 已 到 达 生 命 周 期 的 终结 或 者 上 游 仓 库 已 经 被 关闭 ) © 


这 也 使 得 通过 Puppet 自动 更 新 软件 包 便 得 更 容易 。 你 可 能 偶尔 需要 更 新 一 个 软件 
& (例如 ， 当 有 一 个 安全 更 新 可 用 时 ) ， 只 要 在 package 资源 中 指定 ensure => 
latest 就 可 以 方便 地 实现 包 更 新 。 但 是 如 果 你 不 能 控制 仓库 ， 就 可 能 遭遇 意 想 不 到 
的 升级 风险 ， 使 你 的 系统 受到 某 种 破坏 。 

使 用 自己 的 软件 仓库 是 件 两 全 其 美的 事情 : 你 可 以 放心 地 使 用 Puppet 从 自己 的 软 
件 仓库 自动 更 新 软件 包 ， 当 有 新 版 本 的 软件 可 用 时 ， 只 需要 将 其 纳入 自己 的 软件 仓 
库 ; 你 可 以 首先 测试 上 游 的 软件 版 本 ， 确 保 其 可 用 的 情况 下 再 纳入 用 于 生产 环境 的 
软件 仓库 。 


准备 工作 


你 需要 第 9 章 管理 Apache 服务 一 节 中 讲述 的 apache 模块 ， 如 果 还 没有 此 模块 
请 先 创建 它 。 

在 本 例 中 ， 我 将 我 的 仓库 命名 为 packages.bitfieldconsulting.com » 你 可 能 想 要 使 
用 一 个 不 同 的 仓库 名 ， 这 需要 替换 本 例 中 的 所 有 的 仓库 名 
packages.bitfieldconsulting.com 为 你 想 要 的 仓库 名 。 


操作 步骤 
1. 创建 一 个 新 的 repo 模块 : 


# mkdir /etc/puppet/modules/repo 
# mkdir /etc/puppet/modules/repo/manifests 
# mkdir /etc/puppet/modules/repo/files 


2. 18 M 40 F A S41 /etc/puppet/modules/repo/manifests/bitfield-server.pp X 
件 : 


class repo::bitfield-server { 
include apache 


package ( "reprepro": ensure =&gt; installed } 


file ( [ "/var/apt", 
"/var/apt/conf" ]: 
ensure -&gt; directory, 


} 


file { "/var/apt/conf/distributions": 
source =&gt; "puppet:///modules/repo/distributions", 
require =&gt; File["/var/apt/conf"], 

} 


file { "/etc/apache2/sites-available/apt-repo": 
source =&gt; "puppet:///modules/repo/apt-repo.conf", 
require -&gt; Package["apache2-mpm-worker"], 


j 


file ( "/etc/apache2/sites-enabled/apt-repo": 
ensure =&gt; symlink, 
target =&gt; "/etc/apache2/sites-available/apt-repo", 
require -&gt; File["/etc/apache2/sites-available/apt-re 
notify =&gt; Service["apache2"], 





3. 12 t F A 41 /etc/puppet/modules/repo/files/distributions 文件 : 


Origin: Bitfield Consulting 

Label: bitfield 

Suite: stable 

Codename: lucid 

Architectures: amd64 i386 

Components: main non-free contrib 

Description: Custom and cached packages for Bitfield Consultinc 


E = SS m ERU 





4. 使 用 如 下 内 容 创 建 letc/puppet/modules/repo/files/apt-repo.conf 文件 : 


&lt;VirtualHost *:80&gt; 
DocumentRoot /var/apt 
ServerName packages.bitfieldconsulting.com 
ErrorLog /var/log/apache2/packages.bitfieldconsulting.com.e 


LogLevel warn 
CustomLog /var/log/apache2/packages.bitfieldconsulting.com. 
ServerSignature On 


# Allow directory listings so that people can browse the 
# repository from their browser too 
&lt;Directory "/var/apt"&gt; 
Options Indexes FollowSymLinks MultiViews 
DirectoryIndex index.html 
AllowOverride Options 
Order allow, deny 
allow from all 
&lt;/Directory&gt; 


# Hide the conf/ directory for all repositories 
&lt;Directory "/var/apt/conf"&gt; 

Order allow,deny 

Deny from all 

Satisfy all 
&lt;/Directory&gt; 


# Hide the db/ directory for all repositories 
&lt;Directory "/var/apt/db"&gt; 
Order allow, deny 
Deny from all 
Satisfy all 
&lt;/Directory&gt; 
&lt;/VirtualHost&gt; 


| n———— ee 
. 在 一 个 节点 的 配置 清单 中 添加 如 下 代码 : 





include repo: :bitfield-server 


6. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1304775601' 


notice: /Stage[main]/Repo::Bitfield-server/File[/var/apt]/ensur 
created 


notice: /Stage[main]/Repo: :Bitfield-server/File[/var/apt/conf ]/ 
ensure: created 


notice: /Stage[main]/Repo: :Bitfield-server/File[/var/apt/conf/ 
distributions]/ensure: defined content as '(md5)65dc791b876f53: 
35fcc42c770283' 


notice: /Stage[main]/Repo::Bitfield-server/Package[reprepro]/ 
ensure: created 


notice: /Stage[main]/Repo::Bitfield-server/File[/etc/apache2/ 
sites-enabled/apt-repo]/ensure: created 


notice: /Stage[main]/Repo::Bitfield-server/File[/etc/apache2/ 
sites-available/apt-repo]/ensure: defined content as '{md5}2da4 
957e5acf49220047fe6f6e6e1' 


info: /Stage[main]/Repo::Bitfield-server/File[/etc/apache2/site 
apt-repo]: Scheduling refresh of Service[apache2] 


notice: /Stage[main]/Apache/Service[apache2]: Triggered 'refres 
from 1 events 


notice: Finished catalog run in 16.32 seconds 


[ci = 





工作 原理 


其 实 ， 你 无 需 创 建 一 个 APT 仓库 。 因 为 可 以 通过 HTTP 下 载 软件 包 ， 所 以 你 只 需 
要 一 个 Apache 虚拟 主机 。 你 可 以 将 实际 的 软件 包 随 意 放置 在 任何 地 方 ， 只 要 有 一 
个 conf/distributions 文件 并 在 其 中 给 出 APT 仓库 的 相关 信息 。 


1. bitfield-server 类 的 第 一 部 分 确保 Apache 已 经 被 设置 : 


class repo::bitfield-server { 
include apache 


2. reprepro 是 用 于 管理 仓库 本 身 的 非常 有 用 的 工具 (例如 ， 添 加 一 个 新 的 软件 
包 ) : 


package ( "reprepro": ensure =&gt; installed } 


3. 我 们 创建 一 个 仓库 的 根 目 录 /varapt， 以 及 该 目录 下 的 conf/distributions 3c 
件 : 


file { [ "/var/apt", 
"/var/apt/conf" ]: 
ensure -&gt; directory, 


j 


file ( "/var/apt/conf/distributions": 
source -&gt; "puppet:///modules/repo/distributions", 
require -&gt; File["/var/apt/conf"], 


4. 这 个 类 的 其 余部 分 部 署 了 一 个 Apache 虚拟 主机 的 配置 文件 ， 用 于 响应 
packages.bitfieldconsulting.com 的 请 求 : 


file { "/etc/apache2/sites-available/apt-repo": 
source =&gt; "puppet:///modules/repo/apt-repo.conf", 
require -&gt; Package["apache2-mpm-worker"], 


j 


file ( "/etc/apache2/sites-enabled/apt-repo": 
ensure =&gt; symlink, 
target =&gt; "/etc/apache2/sites-available/apt-repo", 
require -&gt; File["/etc/apache2/sites-available/apt-repo" | 
notify =&gt; Service["apache2"], 





更 多 用 法 


当然 ， 一 个 可 用 的 仓库 里 不 能 没有 软件 包 。 下 面 将 介绍 如 何 添加 软件 包 ， 以 及 如 何 
配置 主机 并 从 你 的 仓库 下 载 软 件 包 。 


向 仓库 添加 软件 
要 添加 一 个 软件 


Gr (m 


到 你 的 仓库 ， 首 先 下 载 它 然后 使 用 reprepro 将 其 添加 到 仓库 : 


# cd /tmp 

# wget http://archive.ubuntu.com/ubuntu/pool/main/n/ntp/\ 
ntp_4.2.4p8+dfsg-1ubuntu2.1_i1386.deb 

# cd /var/apt 

# reprepro includedeb lucid /tmp/ntp_4.2.4p8+dfsg-1ubuntu2.1_1386.°¢ 
Exporting indices... 


‘| _ _ | 


配置 节点 使 用 仓库 


AI 








1. 使 用 如 下 内 容 创建 letc/puppet/modules/repo/manifests/bitfield.pp 文件 (请 根 
据 你 自己 的 仓库 服务 器 的 IP 地 址 替换 如 下 的 IP 地址) : 


class repo::bitfield { 
host { "packages.bitfieldconsulting.com": 
ip =&gt; "19:0 2915". 
ensure -&gt; present, 
target -&gt; "/etc/hosts", 


file ( "/etc/apt/sources.list.d/bitfield.list": 
content -&gt; "deb http://packages.bitfieldconsulting.c 
require -&gt; Host["packages.bitfieldconsulting.com"], 
notify -&gt; Exec["bitfield-update"], 


} 

exec { "bitfield-update": 
command =&gt; "/usr/bin/apt-get update", 
require =&gt; File["/etc/apt/sources.list.d/bitfiel 
refreshonly =&gt; true, 

} 





如 果 你 有 DNS 服务 器 或 者 你 可 以 控制 你 的 DNS 区域 ， 可 以 省 略 host 资源 的 


设置 。 


2. 应 用 这 个 类 到 一 个 节点 : 


node cookbook { 
include repo: :bitfield 
} 


3. 测试 你 仓库 中 的 ntp 软件 包 是 否 可 用 : 


# apt-cache madison ntp 

ntp | 1:4.2.4p8+dfsg-1ubuntu2.1 | http://us.archive.ubuntu. 
com/ubuntu/ lucid-updates/main Packages 

ntp | 1:4.2.4p8+dfsg-1ubuntu2.1 | http://packages. 
bitfieldconsulting.com/ lucid/main Packages 

ntp | 1:4.2.4p8+dfsg-1ubuntu2 | http://us.archive.ubuntu. 
com/ubuntu/ lucid/main Packages 

ntp | 1:4.2.4p8+dfsg-1ubuntu2 | http://us.archive.ubuntu. 
com/ubuntu/ lucid/main Sources 

ntp | 1:4.2.4p8+dfsg-1ubuntu2.1 | http://us.archive.ubuntu. 
com/ubuntu/ lucid-updates/main Sources 


4 — 





对 软件 包 签 名 


对 于 生产 环境 ， 你 应 该 对 软件 仓库 设置 GPG 密 钥 并 且 对 软件 包 进行 签名 ， 关 于 如 
何 设置 密 钥 和 签名 的 信息 ， 请 参考 Sander Marechal 撰写 的 关于 “设置 和 管理 APT 
仓库 ”的 文章 : 
http://www.jejik.com/articles/2006/09/setting up and managing an apt repositor 
y with reprepro/ ° 


配置 GEM 仓库 


使 用 另外 的 不 兼容 的 包 系 统 是 每 个 系统 管理 员 的 梦想 。 如 果 你 要 管理 Ruby 或 
Rails 应 用 程序 ， 就 需要 处 理 Rubygems。 与 维护 自己 的 APT 仓库 一 样 ， 维 护 你 自 
己 的 gem 仓库 会 有 很 多 优点 。 你 可 以 控制 包 的 可 用 性 和 包 的 版 本 ， 也 可 以 根据 需 
要 发 布 你 自己 的 Rubygems ° 


操作 步骤 


1. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/repo/manifests/gem-server.pp 文件 : 


class repo::gem-server { 


include apache 


file { "/etc/apache2/sites-available/gemrepo": 
source =&gt; "puppet:///modules/repo/gemrepo.conf", 
require -&gt; Package["apache2-mpm-worker"], 
notify =&gt; Service["apache2"], 

} 


file { "/etc/apache2/sites-enabled/gemrepo": 
ensure =&gt; symlink, 
target =&gt; "/etc/apache2/sites-available/gemrepo", 
require -&gt; File["/etc/apache2/sites-available/gemrer 
notify =&gt; Service["apache2"], 

J 


file ( "/var/gemrepo": 
ensure -&gt; directory, 





2. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/repo/files/gemrepo.conf 文件 : 


E 


&lt;VirtualHost *:80&gt; 


ServerAdmin john@bitfieldconsulting.com 

ServerName gems.bitfieldconsulting.com 

ErrorLog logs/gems.bitfieldconsulting.com-error log 
CustomLog logs/gems.bitfieldconsulting.com-access log commc 


Alias / /var/gemrepo/ 

&lt;Location /&gt; 
Options Indexes 

&lt;/Location&gt; 


&lt;/VirtualHost&gt; 





— esee 
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3. 在 配置 清单 的 节点 中 添加 如 下 代码 : 


node cookbook { 
include repo: :gem-server 


} 


4. 运行 Puppet : 

# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1304949279' 


notice: /Stage[main]/Repo: :Gem-server/File[/etc/apache2/ 
sites-available/gemrepo]/ensure: defined content as '{md5} 
aei1fd948098f14503de02441d02a825d' 


info: /Stage[main]/Repo::Gem-server/File[/etc/apache2/sitesavai 
gemrepo]: Scheduling refresh of Service[apache2] 


notice: /Stage[main]/Repo::Gem-server/File[/etc/apache2/siteser 
gemrepo]/ensure: created 


info: /Stage[main]/Repo: :Gem-server/File[/etc/apache2/sitesenak 
gemrepo]: Scheduling refresh of Service[apache2] 


notice: /Stage[main]/Apache/Service[apache2]: Triggered 'refres 
from 2 events 


notice: /Stage[main]/Repo::Gem-server/File[/var/gemrepo]/ensure 
created 


notice: Finished catalog run in 6.52 seconds 


B EE) 





工作 原理 
其 原理 与 APT 仓库 的 例子 是 完全 一 样 的 。 我 们 首先 定义 了 一 个 gem 仓库 的 存放 目 


录 ， 然后 定义 了 一 个 Apache 的 虚拟 主机 ， 使 其 能 够 响应 
gems.bitfieldconsulting.com 的 请 求 。 


更 多 用 法 


与 APT 仓库 类 似 ， 仅 有 空仓 库 是 无 用 的 ， 下 面 将 演示 如 何 将 gem 包 纳 入 仓库 ， 以 
及 如 何 配置 你 的 节点 访问 自己 的 gem 仓库 。 


添加 gem 仓库 


向 你 的 仓库 添加 新 的 gems 包 很 简单 。 将 gem 文件 存 入 /var/gemrepo/gems H 
录 ， 然 后 在 /var/gemrepo 目录 下 运行 如 下 命令 即 可 : 


# gem generate_index 


使 用 gem 仓库 


像 使 用 APT 仓库 一 样 ， 首 先 确保 你 的 节点 能 够 解析 主机 名 
gems.bitfieldconsulting.com ， 既 可 以 使 用 Puppet 部 署 host 资源 ， 也 可 以 通过 配 
ia DNS 实现 。 


然后 在 Puppet 中 使 用 如 下 代码 指定 一 个 gem 软件 包 : 
package { "json": 


provider => "gem", 
source => "http://gems.bitfieldconsulting.com ", 


从 源码 包 自 动 构 建 软件 


源码 压缩 包 (tarball) 会 严重 损害 你 的 健康 。 你 既 可 以 使 用 RITH (distro) 或 第 
三 方 软件 包 ， 同 时 从 源码 包 构 建 你 自己 的 软件 包 也 是 可 取 的 ， 这 有 时 还 会 有 许多 工 
作 要 做 。 创建 Debian 软件 包 (3 Do ME ) 会 是 一 个 漫长 而 容易 出 错 
的 过 程 ， 而 且 你 可 能 没有 时 间或 预算 


如 果 你 必须 从 源 代 码 构建 你 的 程序 ， 至 少 可 以 帮 你 实现 这 一 过 程 。 一 般 地 
构建 过 程 是 自动 化 的 ， 否 则 你 就 得 手工 构建 


e 下 载 源码 包 
e 解压 源码 包 
。 配置 (Configure) 并 构建 (build) 程序 
e 安装 已 构建 的 程序 
在 下 面 的 例子 中 ， 我 们 将 从 源码 构建 OpenSSL (虽然 在 生产 环境 中 你 应 该 使 用 发 
行 版 提供 的 软件 包 ， 但 这 是 一 个 有 用 的 演示 示例 ) 。 
操作 步骤 
1. 添加 如 下 代码 到 你 的 配置 清单 : 
exec { "build-openssl": 
cwd -&gt; "/root", 
command =&gt; "/usr/bin/wget ftp://ftp.openssl.org/source/ 
openssl1-0.9.8p.tar.gz && /bin/tar xvzf openss1-0.9.8p.tar. 
gz && cd openssl-0.9.8p && ./Configure linux-generic32 && 
make install", 
creates -&gt; "/usr/local/ssl/bin/openssl", 
logoutput -&gt; on failure, 
timeout =&gt; 0, 
LEN 了 
t Puppet (这 可 能 会 执行 一 段 时 间 |! ) 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1304954159' 


notice: /Stage[main]//Node[cookbook]/Exec [build-openssl]/returr 
executed successfully 


notice: Finished catalog run in 554.00 seconds 


‘| 











工作 原理 


exec 命令 被 && EH PS RT ASME © 2 om 令 若 执 
整个 命令 将 会 失败 且 停 止 运 行 。 当 你 想 确保 每 个 子 命令 都 成 功 运 行 之 后 才 运行 下 一 
个 子 命令 时 ， 这 是 一 种 有 用 的 构造 方法 。 


1. 第 一 阶段 ， 下 载 源码 包 


/usr/bin/wget ftp://ftp.openssl.org/source/openss1-0.9.8p.tar.c 
| ra —— ÁÁHÁ--———————nü— nana óÜ[ 
2. 第 二 阶段 ， 解 压 源码 包 





/bin/tar xvzf openssl-0.9.8p.tar.gz 


3. 第 三 阶段 ， 进 入 源码 树 的 目录 : 
cd openssl-0.9.8p 


4. 第 四 阶段 ， 运 行 配置 脚本 (通常 还 会 指定 一 些 自 定 义 选 项 ) 


./Configure linux-generic32 


5. 最 后 阶段 ， 创 建 并 安装 软件 : 


make install 


6. 由 于 这 是 一 个 漫长 的 过 程 ， 你 不 想 每 次 运行 Puppet 时 都 运行 它 ， 我 们 指定 了 
T vao ee ui ie 


creates =&gt; "/usr/local/ssl/bin/openssl", 


无 论 出 于 任何 原因 ， 如 果 需 要 重建 ， 你 可 以 删除 此 文件 。 


错误 并 非 只 发 生 在 首次 编译 的 fir JL 。 在 出 现 问 题 时 ， 我 们 指定 了 logoutput 参 
数 ， 它 将 为 我 们 显示 编译 或 构建 过 程 中 的 出 错 信息 : 


logoutput =&gt; on_failure, 


8. 最 后 ， ee E KU 间 ， 所 以 将 timeout 参数 设置 成 了 0 
(默认 情况 下 ，Puppet 执行 exec 命令 5 分 钟 后 就 会 超时 ) : 


timeout =&gt; 0, 


更 多 用 法 


如 果 你 有 一 批 必须 从 源 代码 构建 的 软件 ， 那 么 将 上 述 的 exec 放 入 一 个 define 函数 
会 使 这 一 构建 过 程 变 得 更 方便 ， 因 为 你 可 以 使 用 大 致 相同 的 代码 构建 每 个 包 。 


比较 软件 包 的 版 本 

软件 包 的 版 本 号 是 个 奇怪 的 东西 。 它 们 看 起 来 像 十 进 制 的 数字 ， 但 它们 不 是 。 例 
如 ， 一 个 版 本 号 通常 的 形式 为 2.6.4。 如 果 你 需要 比较 两 个 版 本 号 ， 不 能 做 简单 的 
字符 串 比 较 ， 因 为 2.6.4 会 比 2.6.12 大 ; 也 不 能 进行 数字 比较 ， 因 为 它们 不 是 有 效 
地 数字 。 

Puppet 的 versioncmp 函数 会 帮 有 我 们 解决 这 个 问题 。 若 你 给 它 传递 两 个 版 本 号 ， 它 
会 比较 它们 ， 并 返回 一 个 值 ， 指 出 谁 是 更 大 的 : 


versioncmp( A, B ) 


将 返回 如 下 值 : 
e 若 A 和 B 相 同 ， 则 返回 0 
e 若 A 大 于 B， 则 返回 大 于 1 的 值 
e 若 A 小 于 B， 则 返回 小 于 0 的 值 


操作 步骤 
1. 添加 如 下 代码 到 你 的 配置 清单 : 


Wo 
"4725310 


$app version 
$min version 


if versioncmp( $app version, $min version ) &gt;- © { 
notify ( "Version OK": ) 

) else { 
notify { "Upgrade needed": } 


2. 运行 Puppet : 


notice: Upgrade needed 


3. 现在 更 变 $app version 的 值 : 


$app version = "1.2.14" 


4. 在 次 运行 Puppet : 


notice: Version OK 


工作 原理 


我 们 指定 了 可 接受 的 最 小 版 本 ($min version) 是 1.2.10» 所 以 在 上 面 的 例子 中 ， 
我 们 用 $app version 为 1.2.2 的 版 本 号 与 之 比较 。 

简单 的 对 两 个 字符 串 进 行 比较 (例如 ，Ruby 中 的 字符 串 比 较 ) 将 会 给 出 错误 的 结 

果 ， 然 而 versioncmp 却 可 以 正确 地 检测 出 1.2.2 小 于 1.2.10 并 提示 我 们 Upgrade 
needed ° 


4 7k $app version 444A 1.2.14 后 ， 由 于 versioncmp 正确 地 检测 出 
$app version 大 于 $min_version， 所 以 提示 我 们 Version OK 。 


用 户 和 虚拟 资源 


How good the design is doesn’t matter near as much as whether the design is 
getting better or worse. If it is getting better, day by day, | can live with it 
forever. If it is getting worse, | will die. 


— Kent Beck 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 

o 使 用 虚拟 资源 

e 使 用 虚拟 资源 管理 用 户 

e 管理 用 户 基于 密 钥 的 SSH 访问 

e 管理 用 户 的 自 定义 文件 

e 有 效 地 分 发 cron 任务 

e 当 文 件 更 新 时 运行 命 

e 使 用 主机 资源 

e 为 文件 资源 指定 多 个 源 

e 使 用 文件 资源 递归 地 分 发 整个 目录 树 

e 清理 过 期 的 昌文 件 

e 使 用 日 程 表 资源 

e 资源 的 审计 

e 临时 禁用 资源 

e 管理 时 区 
维护 用 户 是 件 痛 苦 的 事 ， 我 不 是 说 人 ， 但 毫 无 疑问 某 种 情况 下 这 确实 是 揽 
在 网 络 中 的 机 器 上 同步 UNIX 用 户 账号 和 权限 文件 ， 其 中 一 些 机 器 可 能 3 
的 操作 系统 ， 没 有 某 种 集中 的 配置 管理 是 非常 具有 挑战 性 的 。 


ee 他 在 每 台 机 器 上 都 需要 一 个 账号 3 
为 此 账号 的 组 成 员 分 配 sudo 特权 ; 还 需要 他 的 SSH 授权 一 堆 不 同 的 账号 o 

A Lg EFL KMRL > Bt ap eee 。 使 用 Puppet 的 系统 管理 员 
却 能 在 几 分 钟 内 完成 这 些 工作 ， 提 早 就 去 吃 午 餐 了 。 


中 ， 我 们 将 会 看 到 管理 用 户 及 其 相关 资源 的 处 理 模式 和 技术 。 我 们 还 将 看 

: 如 何在 Puppet 中 安排 资源 的 执行 ;为 提高 效率 如 何 将 cron 任务 分 散 到 不 同 
M ja] UAT 3 如 何 处 理 时 区 ， 如 何 处 理 /etc/hosts KA : 以 及 如 何 让 Puppet 收集 
审计 数据 ， 使 有 人 摘 乱 了 你 网 络 中 的 机 器 时 能 被 发 现 。 


使 用 虚拟 资源 
什么 是 虚拟 资源 (Virtual Resource) ， 我 们 为 什么 需要 它们 ? 下 面 我 们 来 看 一 个 
可 能 会 使 用 虚拟 资源 的 典型 例子 。 你 负责 管理 facesquare 和 twitstagram 两 个 应 
用 程序 ， 他 们 都 是 运行 在 Apache 上 的 Web 应 用 程序 。facesquare 的 定义 看 起 来 
可 能 像 这 样 : 

class app::facesquare 


package { "apache2-mpm-worker": ensure => installed } 


twitstagram 的 定义 看 起 来 可 能 像 这 样 : 


class app::twitstagram 


package { "apache2-mpm-worker": ensure => installed } 


一 切 都 很 好 ， 直 到 你 需要 将 两 个 应 用 程序 同时 应 用 到 单 台 服 务 器 上 : 


node micawber 


include app: :facesquare 
include app::twitstagram 


现在 Puppet 会 出 错 ， 因 为 你 试图 用 相同 的 名 字 apache2-mpm-worker 定义 两 个 
package 资源 。 错误 输出 信息 如 下 : 


err: Could not retrieve catalog from remote server: Error 400 on SI 
Duplicate definition: Package[apache2-mpm-worker] is already defin: 
file /etc/puppet/modules/app/manifests/facesquare.pp at line 2; car 
redefine at /etc/puppet/modules/app/manifests/twitstagram.pp:2 on r 
cookbook.bitfieldconsulting.com 


[i| EG 


你 可 以 从 其 中 的 一 个 类 中 移 除 重复 的 包 定 义 ， 但 是 这 样 话 ， 如 果 试 图 在 另 一 个 服务 
器 包含 app 类 时 ， 就 会 因为 没有 准备 好 Apache 而 失败 。 


通过 在 自己 的 类 中 放置 Apache 的 包 资 源 并 使 用 include apache 包含 它 ， 你 就 可 以 
解决 这 个 问题 ， 因 为 Puppet 不 介意 多 次 包含 一 个 相同 的 类 。 但 是 这 有 一 个 缺点 ， 
即 每 个 具有 潜在 冲突 的 资源 都 必须 有 它 自己 的 类 。 虚拟 资 源 可 以 解决 这 个 问题 。 虚 
拟 资 源 就 像 是 个 普通 的 资源 ， 特 别 之 处 在 于 它 以 @ 字符 开始 ， 例 如 : 





@package { "apache2-mpm-worker": ensure => installed } 


你 可 以 把 它 看 作 是 个 “FYI( 仅 供 参 考 ) "资源 : 我 只 是 告诉 Puppet 这 个 资源 存 
在 , ee A 它 做 任何 事情 。 Puppet 将 会 读 取 并 记 住 虚拟 资源 定义 ， 但 实际 上 
不 会 创建 这 个 资源 ， 直 到 你 明确 指出 要 创建 此 资源 。 


要 创建 这 个 资源 ， 使 用 如 下 的 realize 函数 : 


realize( Package["apache2-mpm-worker"] ) 


对 于 你 想 要 的 资源 ， 可 以 多 次 调用 realize 而 且 不 会 产生 冲突 。 因此 ， 虚 拟 资源 用 
To: 当 在 几 个 不 同 的 类 中 都 需要 相同 的 资源 ， 且 它们 可 能 会 在 相同 的 节点 上 共存 的 
情况 。 
操作 步骤 

创建 名 为 app 的 新 模块 : 


# mkdir -p /etc/puppet/modules/app/manifests 


2. 18 M to F A 41 /etc/puppet/modules/app/manifests/facesquare.pp 文件 : 


class app::facesquare 


realize( Package["apache2-mpm-worker"] ) 


3. 使 用 如 下 内 容 创 建 letc/puppet/modules/app/manifests/twitstagram.pp 文件 : 


Class app::twitstagram 


realize( Package["apache2-mpm-worker"] ) 


4. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/admin/manifests/virtualpackages.pp 
x: 


class admin::virtual-packages 


( 


@package ( "apache2-mpm-worker": ensure -&gt; installed } 








5. 在 一 个 节点 上 包含 如 下 代码 : 


node cookbook 
include admin::virtual-packages 


include app::facesquare 
include app::twitstagram 


6. 运行 Puppet ° 


工作 原理 
你 可 以 在 admin::virtual-packages 类 中 定义 一 个 包 的 虚拟 资源 。 所 有 节点 都 可 以 包 
含 这 个 类 ， 并 且 你 可 以 将 所 有 虚拟 资源 都 放 在 此 类 中 。 这 些 虚 拟 资源 都 不 会 实际 安 


装 到 节点 上 ， 直 到 你 调用 realize : 


class admin: :virtual-packages 


{ 
} 


@package { "apache2-mpm-worker": ensure => installed } 


每 个 需要 Apache 包 的 类 都 可 以 对 虚拟 资源 调用 realize : 


Class app::twitstagram 


{ 
} 


realize( Package["apache2-mpm-worker"] ) 


Puppet 知道 如 何 处 理 它 ， 因 为 你 设置 了 相应 的 应 拟 资源 ， 你 打算 多 次 引用 同一 个 
包 , 而 不 会 意外 地 创建 具有 相同 名 子 的 两 个 资源 。 所 以 ， 这 正确 地 实现 了 我 们 的 需 


更 乡 用 法 
为 了 实现 (realize) 虚拟 资源 ， 你 也 可 以 使 用 collection 语法 : 
Package «| title = "apache2-mpm-worker" |» 
使 用 这 种 语法 的 好 处 是 ， 你 不 仅 可 以 指定 资源 名 ， 而 且 可 以 指定 tag， 例 如 : 


Package «| tag = "security" |» 


或 者 你 可 以 指定 资源 类 型 的 所 有 实例 , 在 查询 部 分 保留 一 个 空格 即 可 : 


Package «| |» 


参见 本 书 


o 本 章 的 使 用 虚拟 资源 管理 用 户 一 节 


使 用 虚拟 资源 管理 用 户 


用 户 管理 是 使 虚拟 资源 能 派 上 用 场 的 另 一 个 很 好 的 例子 。 考 虑 下 面 的 设置 。 你 有 三 
个 用 户 : John ` Graham 和 Steven。 为 了 简化 管理 大 量 主机 ， 你 为 两 种 类 型 的 用 
户 定义 了 类 : developers 和 sysadmins。 每 个 机 器 都 需要 包含 sysadmins， 但 只 
有 一 部 分 机 器 允许 developer 访问 : 


node server 


t 
include user::sysadmins 
} 
node webserver inherits server 
{ . 
include user::developers 
} 


John 是 个 系统 管理 员 ，Steven 是 个 开发 者 ， 而 Graham 既是 系统 管理 员 又 是 开发 
者 ， 所 以 Graham 必须 是 两 个 组 中 的 成 员 。 这 将 在 Webserver 上 产生 冲突 ， 因 为 
最 终 会 导致 重复 定义 用 户 Graham 。 


为 了 避免 这 种 情况 ， 第 见 的 做 法 是 将 所 有 用 户 设置 成 虚拟 资源 ， 并 定义 在 一 个 单独 
的 类 user::virtual 中 ， 每 个 机 器 都 包含 这 个 类 ， 然 后 在 需要 时 对 虚拟 用 户 执 行 
realize。 


1. 创建 如 下 的 用 户 模块 : 


# mkdir -p /etc/puppet/modules/user/manifests 


2. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/user/manifests/virtual.pp 文件 : 


class user: :virtual 


{ 
@user { "john": } 
@user { "graham": } 
@user { "steven": } 
j 


3. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/user/manifests/developers.pp x ft : 


class user::developers 


realize( User["graham"], 
User["steven"] ) 


4. 使 用 如 下 内 容 创建 /etc/puppet/modules/user/manifests/sysadmins.pp 文件 : 


class user::sysadmins 


realize( User["john"], 
User["graham"] ) 


. 在 一 个 节点 中 添加 如 下 代码 : 


include user::virtual 
include user::sysadmins 
include user::developers 


6. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1305554239' 

notice: /Stage[main]/User::Virtual/User[john]/ensure: created 
notice: /Stage[main]/User::Virtual/User[steven]/ensure: createc 
notice: /Stage[main]/User::Virtual/User[graham]/ensure: createc 
notice: Finished catalog run in 2.36 seconds 





工作 原理 


每 个 节点 都 应 该 包含 user':virtual 类 ， 作 为 基本 配置 的 一 部 分 ， 所 有 服务 器 都 继承 
RA 这 个 类 将 为 你 的 组 织 或 站 点 定义 所 有 的 用 户 。 同 时 也 应 包括 只 是 为 了 运行 
应 用 程序 或 服务 的 任何 用 户 〈 即 非 登 录用 户 ， 例 如 apache X git) ° 


后 你 可 以 对 你 的 用 户 进行 分 组 (不同 于 UNIX 系统 中 的 组 ， 只 是 用 于 区 分 不 同 的 
^ dp AAA &) ， 例 如 developers 和 sysadmins » 对 于 一 个 组 的 类 ， 可 以 
realize 组 里 需要 的 所 有 有 用户， 例如 : 


class user::sysadmins 


realize( User["john"], 
User["graham"] ) 


之 后 便 可 以 在 任何 需要 的 地 方 包含 这 些 组 ， 而 不 用 担心 因为 多 次 定义 同一 个 用 户 而 
产生 的 冲突 。 


参见 本 书 
e 本 章 的 使 用 虚拟 资源 一 节 
e 本 章 的 管理 用 户 的 自 定义 文件 一 节 


管理 用 户 基 于 密 钥 的 SSH 访问 


唯一 安全 的 服务 器 是 关闭 的 。 尽 管 如 此 ， 对 于 服务 器 访问 控制 的 一 个 好 方法 是 ， 使 
用 经 过 私 钥 短语 保护 的 SSH BAMA PKR ， 而 不 是 多 个 用 户 使 用 一 个 共享 账号 
和 一 个 众所周知 的 口令 。 Puppet 使 这 种 管理 变 得 简单 ， 感 谢 其 内 置 的 

ssh authorized key 类 型 。 


将 它 与 上 一 节 讲 述 的 虚拟 用 户 相 结合 ， 你 可 以 创建 一 个 包括 user 和 
ssh authorized key 的 define » 对 于 需要 添加 自 定义 文件 和 其 他 每 用 户 自己 的 资 
源 时 ， 这 也 会 是 有 用 的 。 


操作 步骤 
1， 对 上 一 节 创 建 的 user':virtual 类 做 如 下 修改 : 


class user::virtual 
1 
define ssh user( $key ) 
{ 
user { $name: 
ensure =&gt; present, 
managehome =&gt; true, 


} 


ssh_authorized_key { "${name}_key": 
key =&gt; $key, 
type =&gt; "ssh-rsa", 
user =&gt; $name, 
} 
} 


@ssh_user { "phil": 
key =&gt; "AAAAB3NZaC1yC2bEAAAABIWAAAIEA3ATQENg-4GW 
ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT 
XEUawqzXZQtZzt/ j30ya*PZ jcRpWNRzprSmd2UxEEPTqDw9LqY5S2B80g/ 
NyzwalYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYUSIRyBRkACZik-", 


j 
j 
2. 在 一 个 节点 上 包含 如 下 代码 : 
realize( User::Virtual::Ssh_user["phil"] ) 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1305561740' 


notice: /Stage[main]/User: :Virtual/User: :Virtual: :Ssh_user[phil 
User[phil]/ensure: created 


notice: /Stage[main]/User: :Virtual/User: :Virtual: :Ssh_user[phil 
Ssh_authorized_key[phil_key]/ensure: created 


notice: Finished catalog run in 1.04 seconds 





工作 原理 


我 们 创建 了 一 个 名 为 ssh user 的 define， 它 包括 用 户 自身 的 user 资源 以 及 与 其 相 
Xj ssh authorized key 资源 ， 内 容 如 下 : 


define ssh_user( $key ) 
{ 
user { $name: 
ensure => present, 
managehome => true, 


} 


ssh authorized key { "${name}_key": 
key => $key, 
type => "ssh-rsa", 
user => $name, 


} 


然后 我 们 对 用 户 phil 创建 了 ssh. user 的 一 个 虚拟 资源 实例 : 


@ssh_user { "phil": 
key => "AAAAB3NzaC1yc2EAAAABIWAAATEA3ATGENg+GW 
ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT 
XEUawqzXZQtZzt/ j30ya*PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B80g/ 
NyzwalYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYUS3IRy5RkAcZik-", 
j 


回顾 一 下 ， 因 为 资源 是 虚拟 的 ，Puppet 会 意识 到 这 一 点 ， 所 以 它 不 会 创建 任何 实 
际 的 资源 ， 直 到 你 调用 realize 4 7 E ES © 


最 后 ， 我 们 在 节点 中 添加 了 如 下 代码 : 


realize( User::Virtual::Ssh_user["phil"] ) 


会 实际 创建 user 资源 以 及 包含 其 公 钥 的 authorized keys 资源 。 
更 多 用 法 


可 以 将 这 种 思想 应 用 到 上 一 节 提 及 的 “组 织 用 户 到 组 的 类 ” 中， 修改 相 应 类 的 代码 
为 : 


class user::sysadmins 


{ 
search User::Virtual 
realize( Ssh_user["john"], 
Ssh_user["graham"] ) 
} 


使 用 search User::Virtual 的 目的 仅仅 是 为 了 避免 杂乱 ， 这 允许 你 直接 引用 
Ssh_user， 而 不 用 每 次 都 要 使 用 User::Virtual:: 前 级 。 


另外 ， 你 可 能 会 遭遇 如 下 的 错误 : 


err: /Stage[main]/User::Virtual/User:: 


::Virtual::Ssh user [graham]/Ssl 
authorized key[graham key]: 


: Could not evaluate: No such file or dii 
- /home/graham/ . ssh 


E = zm 





这 或 许 是 因为 你 之 前 已 经 创建 过 graham 用 户 ， 但 没有 使 用 Puppet 管理 其 自家 目 
Re fe 情 Puppet 不 会 自动 创建 


authorized keys 文件 所 需 的 .ssh 目录 。 
运行 如 下 的 命 


# userdel graham 


之 后 再 次 运行 Puppet 即 可 解决 此 问题 。 


管理 用 户 的 自 定义 文件 


用 户 ， 与 猫 一 样 ， 常 常 觉得 有 必要 标记 他 们 的 领地 。 与 猫 不 同 ， 用 户 往 往 要 定制 自 
己 的 shell 环境 ， 如 终端 显示 的 颜色 、 别 名 等 。 这 通常 是 通过 用 户 家 目录 下 的 一 些 
以 点 开始 的 环境 文件 实现 的 ， 例 如 : .bash_profile 。 

通过 修改 上 一 节 的 user::virtual::ssh_user 类 ， 你 可 以 将 环境 文件 添加 到 基于 
Puppet 的 用 户 管理 中 。 在 这 个 类 中 ， 你 可 以 有 选择 地 为 客户 提供 Puppet 文件 仓 
库 中 的 任何 以 点 开头 的 文件 。 


操作 步骤 


1. 对 user::virtual 类 做 如 下 修改 : 


class user::virtual 


define user_dotfile( $username ) 


file ( "/home/${username}/.${name}": 
source -&gt; "puppet:///modules/user/${username}-${name}" 
owner  -&gt; $username, 
group -&gt; $username, 
J 
} 


define ssh user( $key, $dotfile = false ) 
{ 
user { $name: 
ensure =&gt; present, 
managehome =&gt; true, 


} 


ssh authorized key { "${name}_key": 
key -&gt; $key, 
type -&gt; "ssh-rsa", 
user -&gt; $name, 


} 


if $dotfile { 
user_dotfile { $dotfile: 
username =&gt; $name, 
} 


} 
} 


@ssh_user { "john": 

key =&gt; "AAAAB3NzaC1yc2EAAAABIWAAAIEA3ATqENg 
*GWACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsi 
TXEUawqzXZQtZzt/ j30ya*PZ;jcRpWNRzprSmd2UXxEEPTqDw9LqY5S2B8 


og/NyzWalYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYUG3IRy5RkAcZik-", 
dotfile -&gt; [ "bashrc", "bash profile" ], 
} 


} 
"| 
2. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/user/files/john-bashrc 文件 : 


export PATH=$PATH:/var/lib/gems/1.8/bin 


3. 1£ M de T A 4) /etc/puppet/modules/user/files/john-bash_profile 文件 : 


. ~/.bashre 


4. 运行 Puppet ° 


工作 原理 
我 们 添加 了 一 个 名 为 User_dotfile 的 define。 对 于 用 户 要 使 用 的 每 个 dotfile 都 要 调 


用 这 个 define 一 次 。 在 本 例 中 ，john 用 户 有 两 个 dotfiles : .bashrc 和 
.bash_profile。 其 声明 如 下 : 


@ssh_user { "john": 
key =>... 
dotfile => [ "bashrc", "bash profile" ], 


你 既 可 以 指定 一 个 dotfile， 也 可 以 像 本 例 那 样 指定 一 个 数组 形式 的 列表 。 
xt T 4% dotfile > user_dotfile 将 在 modules/user/files 目录 下 查找 相应 源 的 文件 。 
例如 ， 对 名 为 bashrc 的 dotfile，Puppet 将 查找 : 
modules/user/files/john-bashrc 
这 将 被 拷贝 为 客户 节点 的 如 下 文件 : 
/home/john/ .bashrc 
参见 本 书 


e 本 章 的 使 用 虚拟 资源 管理 用 户 一 节 


有 效 地 分 发 cron 任务 


当 你 有 许多 服务 器 需要 执行 相同 的 cron 作业 时 ， 不 在 同一 时 间 运 行 它 们 通常 是 个 
好 主意 。 如果 所 有 作业 都 要 访问 一 个 公共 服务 器 ， 就 会 给 该 服务 器 带 来 大 量 负载 ， 
即使 这 些 服 务 器 不 会 同时 访问 公共 服务 器 ， 所 有 服务 器 也 会 在 同一 时 间 处 于 繁忙 状 
态 ， 这 可 能 会 前 减 它 们 提供 其 他 服务 的 能 力 。 


Puppet 的 inline template 函数 允许 我 们 使 用 Ruby 的 逻辑 根据 主机 名 为 cron 作业 
设置 不 同 的 运行 时 间 。 


操作 步骤 
1. 在 一 个 节点 中 添加 如 下 代码 : 


define cron_random( $command, $hour ) 
{ 
cron { $name: 
command =&gt; $command, 
minute =&gt; inline_template("&1lt;%= (hostname+name) .hash. 
hour =&gt; $hour, 
ensure -&gt; "present", 
n 
} 


cron random { "hello-world": 
command -&gt; "/bin/echo 'Hello world'", 
hour -&gt; 2, 

} 


cron_random { "hello-world-2": 
command =&gt; "/bin/echo 'Hello world'", 
hour =&gt; 1, 
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2. 344 


Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 

info: Applying configuration version '1305713506' 

notice: /Stage[main]//Node[cookbook]/Cron. random[hello-world]/ 
Cron[hello-world]/ensure: created 

notice: /Stage[main]//Node[cookbook]/Cron. random[hello-world-2] 
Cron[hello-world-2]/ensure: created 

notice: Finished catalog run in 1.07 seconds 


4 ee 








3. 检查 crontab 查看 是 否 成 功 地 配置 了 cron 作业 : 


# crontab -1 

# HEADER: This file was autogenerated at Fri Jul 29 10:58:45 +( 
2011 by puppet. 

4 HEADER: While it can still be managed manually, it is definit 
not recommended. 

# HEADER: Note particularly that the comments starting with 
'Puppet Name' should 

# HEADER: not be deleted, as doing so could cause duplicate crc 
jobs. 

# Puppet Name: hello-world 

25 2* * * /bin/echo 'Hello world' 

# Puppet Name: hello-world-2 

49 1 * * * /bin/echo 'Hello world' 


一 一 一 一 一 





工作 原理 


我 们 想 要 为 每 个 cron 作业 选择 一 个 随机 的 执行 分 钟 数 ; 而 不 是 真正 的 随机 (或 
者 说 ， 不 是 每 次 运行 Puppet 都 会 改变 cron 作业 的 运行 时 间 ) ， 但 这 也 或 多 或 少 
地 保证 了 每 个 主机 上 的 每 个 cron 作业 运行 时 间 的 不 同 。 


我 们 可 以 使 用 Ruby 的 hash 方法 实现 它 ， 它 会 对 任何 对 象 ( 本 例 为 一 个 字符 串 ) 
计算 出 一 个 哈 希 值 。 尽 管 看 上 去 这 个 哈 希 值 是 随机 的 ， 但 它 每 次 运行 时 都 相同 ， 所 
以 当 再 次 运行 Puppet 时 其 值 不 会 改变 。 


哈 希 值 生 成 的 是 一 个 大 整数 ， 而 我 们 想 要 的 是 一 个 0 到 59 之 间 的 整数 ， 所 以 我 们 

使 用 了 Ruby 的 % (42) 运算 符 将 其 结果 限制 在 这 个 范围 内 。 因 为 只 有 60 种 可 能 
的 值 ， 尽 管 hash 函数 被 设计 为 尽 可 能 产生 随机 的 输出 ， 还 是 会 有 些许 的 碰撞 而 且 

这 些 碰 接 对 于 minute 应 该 是 均匀 分 布 的 。 

为 我 们 希望 每 个 哈 希 值 在 不 同 的 主机 上 是 不 同 的 ， 所 以 使 用 主机 名 做 hash 处 

理 。 然 而 ， 我 们 还 希望 同一 台 主 机 上 的 不 同 作业 的 哈 希 值 也 不 同 ， 所 以 联合 使 用 了 
主机 名 和 作业 名 (例如 hello-world) 做 hash 处 理 。 


更 多 用 法 


在 本 例 中 ， 我 们 仅 对 cron 作业 的 minute 进行 了 随机 化 ， 并 将 hour 作为 define 定 
义 的 一 部 分 。 若 你 同时 希望 指定 要 在 周 几 运 行 ， 可 以 在 cron random 中 添加 一 个 
附加 参数 来 指定 ， 可 以 像 下 面 这 样 为 其 指定 默认 值 : 


define cron random( $command, $hour, $weekday = "*" ) { 


若 你 想 要 对 cron 作业 的 hour 进行 随机 化 (例如: 要 做 的 作业 可 以 在 一 天 之 内 的 任 
何 时 间 执 行 ， 并且 必 须 将 它们 均匀 分 布 在 所 有 的 24 个 小 时 上 ) ， 可 以 对 
cron_random 做 如 下 修改 : 


hour => inline_template("<%= (hostname+name).hash.abs % 24 %>"), 


参见 本 书 


e 第 1 章 的 从 cron 运行 Puppet 一 节 


当 文件 更 新 时 运行 命令 
当 茶 个 特定 的 文件 更 新 后 Puppet 就 该 采取 一 些 行动 ， 这 是 一 个 非常 常见 的 模式 。 
例如 ， 在 rsync 配置 片段 的 例子 中 ， 一 旦 修改 了 某 个 片段 文件 ， 就 会 调用 exec 资 
源 更 新 主 配置 文件 rsyncd.conf » 
每 次 运行 Puppet，exec 资源 都 会 被 运行 ， 除 非 指 定 了 如 下 参数 中 的 一 个 : 

e creates 

e onlyif 

e unless 

e refreshonly => true 
refreshonly 参数 的 意思 是 : 仅 当 从 其 他 资源 (例如 一 个 文件 资源 ) 获得 一 个 notify 
才 执 行 exec 资源 。 
准备 工作 
安装 nginx 包 (实际 上 ， 我 们 只 需要 配置 文件 ， 但 这 是 获得 它 的 最 简单 方式 ) : 


# apt-get install nginx 


操作 步骤 
1. 创建 一 个 nginx 模块 ， 其 目录 结构 如 下 


# mkdir /etc/puppet/modules/nginx 
# mkdir /etc/puppet/modules/nginx/files 
# mkdir /etc/puppet/modules/nginx/manifests 


2. 1£ M de T A 4) /etc/puppet/modules/nginx/manifests/nginx.pp 文件 : 


class nginx { 
package { "nginx": ensure =&gt; installed } 


service { "nginx": 
enable =&gt; true, 
ensure =&gt; running, 


J 

exec ( "reload nginx": 
command -&gt; "/usr/sbin/service nginx reload", 
require -&gt; Package["nginx"], 
refreshonly -&gt; true, 

} 


file { "/etc/nginx/nginx.conf": 
source =&gt; "puppet:///modules/nginx/nginx.conf", 
notify =&gt; Exec["reload nginx"], 
require -&gt; Package["nginx"], 


. 复制 系统 中 的 nginx.conf 文件 到 模块 的 相应 目录 : 
cp /etc/nginx/nginx.conf /etc/puppet/modules/nginx/files 
.添加 如 下 代码 到 你 的 配置 清单 : 


include nginx 


.对 复制 到 Puppet 中 的 nginx.conf 文件 做 个 小 改动 ， 以 便 进 行 后 续 的 测试 : 


# echo \# &gt;&gt;/etc/puppet/modules/nginx/files/nginx.conf 


.运行 Puppet : 


# puppet agent --test 


info: Retrieving plugin 
info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1303745502' 


--- /etc/nginx/nginx.conf 2010-02-15 00:16:47.000000000 -0700 
+++ /tmp/puppet-file20110425-31239-158xcst-0 2011-04-25 
09:39:49.586322042 -0600 

@@ -48,3 +48,4 @@ 

# proxy on; 

# j 

# } 

+# 


info: FileBucket adding /etc/nginx/nginx.conf as {md5}7bf13958€ 
cd5956f986c9c1442d44 


info: /Stage[main]/Nginx/File[/etc/nginx/nginx.conf]: 
Filebucketed /etc/nginx/nginx.conf to puppet with sum 
7bf139588b5ecd5956f986c9c1442d44 


notice: /Stage[main]/Nginx/File[/etc/nginx/nginx.conf]/content: 
content changed '(md5)7bf139588b5ecd5956f986c9c1442d44' to '{mc 
d28d08925174c3f6917a78797c4cd3cc ' 


info: /Stage[main]/Nginx/File[/etc/nginx/nginx.conf]: Schedulir 
refresh of Exec[reload nginx] 


notice: /Stage[main]/Nginx/Exec[reload nginx]: Triggered 'refre 
from 1 events 


notice: Finished catalog run in 1.69 seconds 


B] EE] 





工作 原理 

对 于 大 多 数 服 务 来 说 ， 你 应 该 简单 地 定义 一 个 服务 资源 ， 它 从 配置 文件 获得 
notify。 这 会 使 Puppet 重启 服务 ， 从 而 应 用 改变 之 后 的 更 新 。 

然而 ，nginx 有 时 不 能 正确 的 重新 启动 ， 尤 其 是 当 使 用 Puppet 重新 启动 时 ， 所 以 
我 为 茶 个 站 点 炮制 了 一 个 让 Puppet 运行 /etc/init.d/nginx reload 的 补救 措施 ， 用 它 
替代 服务 的 重启 。 下 面 阅 述 它 是 如 何 工 作 的 。 


将 exec 资源 中 的 refreshonly 参数 设置 成 true : 


exec { "reload nginx": 
command => "/usr/sbin/service nginx reload", 
require => Package["nginx"], 
refreshonly => true, 


所 以 ， 仅 当 它 获得 通知 才 会 运行 
如 果 配 置 文件 发 生 改 变 ， 就 提供 所 需 的 通知 (notify) 
file ( "/etc/nginx/nginx.conf": 


source => "puppet:///modules/nginx/nginx.conf", 
notify => Exec["reload nginx"], 


每 当 Puppet 更 新 了 这 个 配置 文件 ， 它 就 会 运行 exec ， 这 将 会 调用 如 下 命令 重新 加 
载 修 改 后 的 配置 文件 : 


/usr/sbin/service nginx reload 


to RAR FS X4 reload 命令 参数 ， 就 会 在 不 中 断 服 务 的 情况 下 为 daemon 发 出 一 个 
重新 读 取 配 置 文件 的 进程 信号 。 


实际 上 , 对 于 本 例 , 更 好 的 方法 是 为 nginx 服务 定义 如 下 的 restart 命令 


service { "nginx": 
restart => "/etc/init.d/nginx reload", 
} 


EB ol o om Uu a 
E 我 还 不 知道 restart 而 且 它 也 不 存在 。 不 过 作为 一 种 通用 的 模式 ， 当 更 新 文件 
后 需要 采取 某 种 行动 时 ， 你 会 发 现 它 有 用 。 
更 多 用 法 
每 当 遇 到 资源 更 新 就 要 采取 某 动 的 情况 ， 你 就 可 以 使 用 这 个 类 似 的 模式 。 可 能 
的 用 途 包 括 : 

e 触发 服务 重新 加 载 配 置 文件 

e 运行 语法 检查 ， 然 后 再 重新 启动 服务 

e 连接 config 片段 


e 运行 测 试 
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e 链接 exec 资源 


如 果 当 一 个 文件 (假设 名 为 somefile) 更 新 后 需要 执行 多 个 命令 ， 那 么 在 每 个 命令 
的 exec 资源 声明 中 都 使 用 subscribe => File[somfile]|，( 即 一 旦 检测 到 somefile X 
件 的 变化 就 重新 执行 exec YER) 会 更 简单 ， 而 不 是 在 file 资源 中 使 用 notify 执行 
命令 。 效果 是 一 样 的 。 


= 译 者 注 


你 也 可 以 在 service 资源 定义 中 使 用 subscribe ， 例 如 在 一 个 Redhat 风格 的 系 
统 中 ， 你 可 以 使 用 如 下 的 service 声明 : 


service { "nginx": 


enable =&gt; true, 
ensure -&gt; running, 
restart -&gt; "/etc/init.d/nginx reload", 


subscribe -&gt; [ File["/etc/nginx/nginx.conf"], 
File["/etc/sysconfig/nginx"] ] 


在 上 例 中 ， 使 用 数组 为 subscribe 指定 了 两 个 要 检测 的 文件 ， 也 就 是 说 ， 一 旦 
4 测 到 两 个 文件 中 的 任何 一 个 发 生变 化 就 重启 服务 。 
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使 用 主机 资源 
| am not a number. 


"The Prisoner" — Number Six 


将 机 器 搬 来 搬 去 是 很 常见 的 做 法 ， 尤 其 是 在 云 的 基础 设施 中 搬 动 ， 所 以 一 个 特定 主 
机 的 IP 经 常会 改变 。 正 因为 如 此 ， 在 你 的 配置 中 使 用 硬 编 码 的 [P 地 址 显然 是 个 坏 
主意 。 如 果 一 台 机 器 要 访问 另 一 台 【《 例 如 ， 一 个 应 用 服务 器 需要 访问 一 台数 据 库 服 
FR) ， 那 么 使 用 主机 名 而 不 是 IP 地 址 会 更 好 。 


然而 ， 如 何 映射 主机 名 到 IP 地 址 呢 ? 这 通常 会 使 用 DNS， 但 小 型 组 织 里 一 般 没 有 
DNS 服务 器 ， 而 大 型 组 织 要 想 无 困扰 地 实现 DNS 更 新 也 是 相当 费时 的 。 此 外 ， 
将 DNS 信息 传播 到 不 同 机 器 也 需要 不 同 的 时 间 ， 因 此 确保 快速 而 一 致 的 IP 地 址 更 
新 的 一 种 方法 是 使 用 由 Puppet 管理 的 本 地 主机 表 文 件 /etc/hosts 中 的 条 目 。 


BER 
1. 添加 如 下 代码 到 你 的 配置 清单 : 


host { "www.bitfieldconsulting.com": 
ip -&gt; "109.74.195.241", 
target -&gt; "/etc/hosts", 
ensure -&gt; present, 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1305716418' 


notice: /Stage[main]//Node[cookbook]/Host [www.bitfieldconsultir 
com]/ensure: created 


info: FileBucket adding /etc/hosts as {md5}977bf5811de978b7f041 
9e77b4abe 


notice: Finished catalog run in 0.21 seconds 





工作 原理 


Puppet 将 检查 由 target 指定 的 文件 ， 若 主机 条 目 不 存 在 ，Puppet 就 会 添加 此 条 
目 ; 若 主机 条 目 存在 但 IP 地 址 不 同 ，Puppet 就 会 更 新 此 条 目 。 


虽然 可 以 使 用 有 别 于 /etc/hosts 的 目标 文件 ， 但 这 是 默认 值 ， 你 只 只 需要 一 个 目标 文 
TF ( 即 不 能 使 用 数组 同时 指定 多 个 文件 ) 。 我 认为 明确 地 指定 host 资源 的 默认 值 
是 个 很 好 的 做 法 ， 因 为 依托 默认 的 行为 会 有 使 代码 变 得 脆弱 的 倾向 。 

更 多 用 法 


将 你 的 host 资源 组 织 到 类 中 会 对 你 有 帮助 。 例 如 ， 你 可 以 将 所 有 数据 库 服务 器 的 

yee 资源 放置 在 一 个 名 为 admin::dbhosts 的 类 中 ， 然 后 在 所 有 的 web 服务 器 中 包 
这 个 类 。 

一 些 主机 可 能 需要 在 多 个 类 中 同时 定义 (例如 ， 一 个 数据 库 服务 器 也 可 以 是 一 个 仓 


库 服 务 器 ) ， 使 用 虚拟 资源 可 以 解决 这 个 问题 。 例 如 你 可 以 像 下 面 这 样 ， 在 一 个 
单独 的 类 中 将 所 有 的 主机 定义 成 虚拟 资源 : 


class admin::allhosts 


@host ( "dbi.bitfieldconsulting.com":) 


然后 在 不 同 的 类 中 realize 你 需要 的 主机 : 


class admin::dbhosts 


{ 
realize( Host["dbi.bitfieldconsulting.com"] ) 
} 
class admin: :repohosts 
{ 


realize( Host["dbi.bitfieldconsulting.com"] ) 
} 


为 文件 资源 指定 多 个 源 
Puppet 的 file 资源 有 一 个 实用 功能 ， 那 就 是 可 以 为 文件 指定 多 个 源 。 Puppet 会 按 
顺序 查找 每 一 个 。 如 果 第 一 个 不 存在 ， 就 继续 查找 下 一 个 ， 以 此 类 推 。 你 可 以 利用 


这 个 功能 指定 一 个 默认 文件 源 的 替代 品 ， 若 一 个 甚至 一 系列 替代 品 不 存在 就 会 使 用 
默认 的 (最 后 一 个 列 出 的 ) 文件 源 。 


操作 步骤 
1. 添加 如 下 的 类 到 你 的 配置 清单 : 


class mysql::app-config( $app ) 
1 


file ( "/etc/my.cnf": 
source -&gt; [ "puppet:///modules/admin/${app}.my.cnf", 
"puppet:///modules/admin/generic.my.cnf", ] 





2. 使 用 如 下 内 容 创建 Jetc/puppet/modules/admin/files/minutespace.my.cnf X 
件 : 


# MinuteSpace config file 


3. 使 用 如 下 内 容 创建 Jetc/puppet/modules/admin/files/generic.my.cnf 文件 : 


# Generic config file 
4. 在 一 个 节点 中 添加 如 下 代码 : 
class { "mysql::app-config": app =&gt; "minutespace" } 


5. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1305897071' 


notice: /Stage[main]/Mysql::App-config/File[/etc/my.cnf]/ensure 
defined content as '{md5}24f04b960fF4d33c70449fbc4d9f708b6' 


notice: Finished catalog run in 0.35 seconds 
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. 检查 Puppet 是 否 部 署 了 适用 于 指定 应 用 程序 的 config 文件 : 


# cat /etc/my.cnf 
# MinuteSpace config file 


.现在 更 改 节点 的 定义 为 : 


class { "mysql::app-config": app =&gt; "shreddit" } 


.再 次 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1305897864' 

--- /etc/my.cnf 2011-05-20 13:17:56.006239489 +0000 

+++ /tmp/puppet -file20110520-15575-1icobgs-0 2011-05-20 
13:24:25.030296062 +0000 


QQ -1 +1 @@ 
-# MinuteSpace config file 
+# Generic config file 


info: FileBucket adding /etc/my.cnf as {md5}24f04b960f4d33c7044 
c4d9f 708b6 


info: /Stage[main]/Mysql: :App-config/File[/etc/ 
my.cnf]: Filebucketed /etc/my.cnf to puppet with sum 
24f04b960f4d33c70449fbc4d9f708b6 


notice: /Stage[main]/Mysql::App-config/File[/etc/my.cnf]/conter 
content changed '(md5)24f04b960f4d33c70449fbc4d9f708b6' to '{mc 
b3a6e744c3ab78dfb20e46ff55f6c33c' 


notice: Finished catalog run in 0.93 seconds 








工作 原理 
我 们 定义 了 /etc/my.cnf 文件 有 如 下 的 两 个 源 : 


file { "/etc/my.cnf": 
source => [ "puppet: ///modules/admin/$(app) .my .cnf", 
"puppet: ///modules/admin/generic.my.cnf", ], 


Sapp 的 值 由 任何 一 个 使 用 它 的 类 传递 。 在 第 一 个 例子 中 ， 我 们 为 app 传递 了 
minutespace : 


class { "mysql::app-config": app => "minutespace" } 


Puppet 将 首先 查找 modules/admin/files/minutespace.my.cnf 文件 。 由 于 此 文件 存 
在 ， 所 以 就 会 使 用 它 。 到 目前 为 止 ， 一 切 正常 。 


然后 我 们 把 app 的 值 更 改 为 shreddit » Puppet 现在 会 查找 
modules/admin/files/shreddit.my.cnf 文件 。 由 于 此 文件 不 存在 ， 所 以 Puppet 试图 
查找 源 列表 中 的 下 一 个 文件 : modules/admin/files/generic.my.cnf » A 79 36 x44% 
在 ， 所 以 会 将 它 部 署 到 节点 。 


更 多 用 法 


你 可 以 在 任何 一 个 file 资源 中 使 用 这 种 手段 来 处 理 。 例 如 ， 一 些 节点 可 能 需要 针对 
特定 主机 的 配置 ， 而 另 一 些 节 点 则 不 需要 ， 你 可 以 使 用 类 似 于 如 下 的 代码 实现 : 


file { "/etc/stuff.cfg": 
source => [ "puppet:///modules/stuff/${hostname}.cfg", 
"puppet :///modules/stuff/generic.cfg" ], 


然后 将 你 的 通用 配置 放 在 generic.cfg 文件 中 。 如 果 主 机 cartman 需要 一 个 特殊 的 
配置 ， 将 适用 于 此 主机 的 配置 放 在 cartman.cfg 文件 中 。 cartman.cfg 文件 优先 于 
generic.cfg 文件 ， 因 为 它 在 源 数 组 中 是 首先 被 列 出 的 。 


参见 本 书 


e 第 4 章 的 给 类 传递 参数 一 节 


使 用 文件 资源 递归 地 分 发 整个 目录 树 
To understand recursion, you must first understand recursion. 
— Saying 


当 你 需要 使 用 Puppet 分 发 一 批 位 于 同一 目录 下 的 多 个 文件 时 ， 就 应 该 考虑 使 用 文 
件 资 源 的 递归 特性 来 替代 逐个 文件 的 分 发 。 如 果 你 在 一 个 目录 上 设置 了 recurse 参 
数 ，Puppet 会 复制 此 目录 及 其 子 目录 中 的 所 有 文件 到 节点 目录 ， 例 如 : 


file { "/usr/lib/nagios/plugins/custom": 
source => "puppet:///modules/nagios/plugins", 
require => Package["nagios-plugins"], 
recurse => true, 


1. 在 Puppet 仓库 中 的 适当 位 置 创建 如 下 的 目录 树 : 


mkdir /etc/puppet/modules/admin/files/tree 
mkdir /etc/puppet/modules/admin/files/tree/a 
mkdir /etc/puppet/modules/admin/files/tree/b 
mkdir /etc/puppet/modules/admin/files/tree/c 
mkdir /etc/puppet/modules/admin/files/tree/a/1 


dk db dk dt dk 


2， 添 加 如 下 代码 到 你 的 配置 清单 : 


file { "/tmp/tree": 
source =&gt; "puppet:///modules/admin/tree", 
recurse =&gt; true, 


3. 运 和 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1304768523' 


notice: /Stage[main]//Node[cookbook]/File[/tmp/tree]/ensure: 
created 


notice: /File[/tmp/tree/a]/ensure: created 
notice: /File[/tmp/tree/a/1]/ensure: created 
notice: /File[/tmp/tree/b]/ensure: created 
notice: /File[/tmp/tree/c]/ensure: created 
notice: Finished catalog run in 1.25 seconds 


工作 原理 


如 果 一 个 fie 资源 上 设置 了 recurse 参数 ， 而 且 此 资源 又 是 个 目录 ， 那 么 Puppet 
不 仅 会 部 署 目录 自身 ， 而 且 还 会 分 发 其 中 的 所 有 内 容 〈 包 括 子 目 录 及 其 文件 ) 。 对 
于 要 在 节点 上 部 署 目录 树 及 其 eh 这 是 一 个 很 好 的 方法 。 也 可 以 用 这 
种 方法 使 用 一 个 单独 的 资源 快速 创建 大 量 路 径 


更 多 用 法 


有 时 你 要 部 署 一 些 文件 到 一 个 已 经 存在 的 目录 ， 但 是 首先 要 移 除 该 目录 下 的 所 有 没 
e 管理 的 文件 。 例如 ，Ubuntu 的 /etc/apt/sources.list.d 目录 下 的 文件 ， 
可 能 想 要 确保 没有 文件 存在 ， 即 删除 那些 不 是 来 自 Puppet 的 文件 。 


purge 参数 可 以 为 我 们 实现 这 个 功能 。 在 Puppet 中 定义 如 下 的 目录 的 file 资源 : 


file { "/etc/apt/sources.list.d": 
ensure => directory, 
recurse => true, 
purge => true, 


联合 使 用 recurse 和 purge 将 会 移 除 /etc/apt/sources.list.d 目录 及 其 子 目 录 下 的 所 
有 不 被 Puppet 管理 的 文件 。 然后 你 就 可 以 使 用 独立 的 file 资源 将 自己 的 文件 部 署 
到 /etc/apt/sources.list.d 目录 : 


file { "/etc/apt/sources.list.d/bitfield.list": 
content => "deb http://packages.bitfieldconsulting.com/lucid-m: 
} 


“| uS 











如 果 有 一 个 子 目 录 ， 其 中 包含 了 你 : purge 的 文件 ， 可 以 将 此 子 目录 作为 
Puppet 的 一 个 file 资源 单独 进行 定 这 样 这 个 子 目 录 中 的 内 容 就 会 保留 : 
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file ( "/etc/exim4/conf.d/acl": 
ensure -» directory, 
} 


要 知道 ， 至少 在 Puppet 的 当前 实现 中 ， 采 用 递归 方式 复制 文件 相当 慢 而 且 会 
占用 大 量 服务 器 的 内 存 。 如 果 要 部 署 的 文件 不 经 党 改变 ， 使 用 tarball 进行 部 
署 比 使 用 这 种 递归 方式 会 更 好 。 
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清理 过 期 的 昌文 件 

我 们 每 隔 一 段 时 间 就 会 打扫 一 次 房间 。 Puppet 的 tidy 资源 可 以 帮助 你 清理 已 过 期 
的 旧 文 件 ， 从 而 减少 不 必要 的 磁盘 占用 。 例如 ， 如 果 你 像 生成 报告 一 节 描 述 的 那 
样 启 用 了 Puppet 的 报告 ， 就 会 希望 定期 清除 昌 的 报告 文件 。 

操作 步骤 

1. 添加 如 下 代码 到 你 的 配置 清单 : 


tidy { "/var/lib/puppet/reports": 
age =&gt; "iw", 
recurse =&gt; true, 


2. 运行 Puppet : 


# puppet agent --test 
info: Retrieving plugin info: Caching catalog for cookbook. 
bitfieldconsulting.com 


notice: /Stage[main]//Node[cookbook]/Tidy[/var/lib/puppet/ 
reports]: Tidying File[/var/lib/puppet/reports/cookbook. 
bitfieldconsulting.com/201102241546.yaml] 

notice: /Stage[main]//Node[cookbook]/Tidy[/var/lib/puppet/ 


reports]: Tidying File[/var/lib/puppet/reports/cookbook. 
bitfieldconsulting.com/20110214727.yaml] 


info: Applying configuration version '1306149187' 


notice: /File[/var/lib/puppet/reports/cookbook.bitfieldconsulti 
com/201102241546.yaml]/ensure: removed 


notice: /File[/var/lib/puppet/reports/cookbook.bitfieldconsulti 
com/201102141727.yaml]/ensure: removed .. 


notice: Finished catalog run in 1.48 seconds 
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工作 原理 


Puppet 会 搜索 指定 路 径 下 所 有 匹配 age 参数 的 文件 : 本 例 中 的 存活 时 间 为 1w (一 
Al) 。 也 可 以 搜索 子 目 录 (recurse => true) 。 


任何 与 你 指定 的 标准 匹配 的 文件 都 会 被 删除 。 
更 多 用 法 
你 可 以 指定 文件 存活 时 间 的 单位 ， 单 位 可 以 是 : 秒 (s) 、 小 时 (h) ^ X (d) 和 
A (w) ， 下 面 是 几 个 例子 : 
e 60s 
e 180m 
e 24h 
e 30d 
e 4w 


你 也 可 以 指定 文件 的 大 小 ， 当 文件 的 尺寸 大 于 你 指定 的 尺寸 后 就 会 删除 它 ， 例 如 : 


size => "100m", 


这 会 删除 所 有 大 于 100 megabytes (m) 的 文件 。 单 位 也 可 以 是 : kilobytes (k) 
X bytes (b) ° 


S 


值得 注意 的 是 ， 如 果 你 同时 指 定 了 age 和 size 参数 ， 它 们 将 被 视 为 独立 的 标 
E ( 即 参 数 之 间 是 “或 " 逻辑 而 不 是 “与 ”逻辑 ) 。 例如 ， 你 对 一 个 目录 的 文件 
指定 定 了 如 下 的 参数 ' 那么 Puppet 会 删除 所 有 超过 一 天 的 文件 ， 同 时 也 会 删除 
所 有 尺寸 大 于 512KB 的 文件 。 


age =&gt; "1d", 
size =&gt; "512k", 


使 用 日 程 表 资源 


使 用 启用 了 schedule 参数 的 资源 ， 你 可 以 控制 当前 资源 何 时 被 应 用 。 bite > tar 
望 如 下 的 exec 资源 每 天 应 用 一 次 ， 将 资源 参数 schedule 设置 成 了 内 置 的 值 
daily : 


exec { "/usr/bin/apt-get update": 
schedule => daily, 


} 


遗憾 的 是 ， 给 schedule 参数 指定 daily 并 不 能 保证 该 资源 每 天 都 能 应 用 一 次 。 内 
置 的 daily 仅 能 限制 exec 资源 在 一 天 之 内 不 能 被 应 用 多 余 一 次 ， 但 是 资源 是 否 被 
应 用 以 及 何 时 被 应 用 完全 取决 于 Puppet 是 否 运 行 以 及 何 时 运行 。 

正 因为 如 此 ， 使 用 schedule 资源 才 是 安排 执行 其 他 资源 的 最 佳 选择 。 例 如 ， 你 可 
能 想 要 确保 apt-get update 一 小 时 内 运行 不 超过 一 次 ; 或 者 确保 一 项 维护 工作 在 白 
天 生产 时 间 期 间 不 被 执行 。 


为 此 ， 你 需要 创建 自己 的 schedule 资源 。 


操作 步骤 
1. 添加 如 下 代码 到 你 的 配置 清单 : 


schedule { "not-in-office-hours": 
period =&gt; daily, 
range =&gt; [ "17:00-23:59", "00:00-09:00" ], 
repeat -&gt; 1, 

} 


exec { "/bin/echo Doing maintenance!": 
schedule -&gt; "not-in-office-hours", 


j 


2. Run Puppet ° 


工作 原理 


我 们 创建 了 名 为 not-in-office-hours 的 schedule， 它 指定 了 重复 周期 为 daily E.4& 
定 了 允许 的 时 间 范 围 为 下 午 5 点 到 次 日 早上 9 点 : 


period => daily, 
range => [ "17:00-23:59", "00:00-09:00" ], 


我 们 同时 设置 了 在 每 个 时 间 周 期 内 资源 被 应 用 的 最 大 次 数 为 1 : 


repeat => 1, 


然后 ， 我 们 在 如 下 的 exec 资源 中 使 用 这 个 自 定 义 的 schedule : 


exec { "/bin/echo Doing maintenance!": 
schedule => "not-in-office-hours", 
} 


若 exec 资源 不 使 用 schedule 参数 ， 每 次 运行 Puppet， 这 个 exec 资源 就 会 被 应 用 
一 次 。 现在 ，Puppet 将 依照 not-in-office-hours 资源 的 设置 做 如 下 测试 : 


e 当前 时 间 是 否 在 允许 的 范围 内 

e 在 一 个 重复 周期 内 ， 资 源 是 否 已 经 应 用 到 了 允许 的 最 大 次 数 
例如 ， 让 我 考察 在 如 下 连续 的 几 个 小 时 内 如 果 Puppet 每 小 时 执行 一 次 将 会 发 生 什 
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e 4 p.m. : 超出 了 允许 的 时 间 范 围 ， 所 以 Puppet 不 会 做 任何 事情 


e 5 p.m. : 在 允许 的 时 间 范 围 内 ， 且 在 此 重复 周期 内 还 没有 运行 过 ， 所 以 Puppet 
会 应 用 此 资源 。 


° opm 在 允许 的 时 间 范 围 内 ， 且 在 此 重复 周期 内 已 经 运行 poene 
$|ik f repeat 设置 的 最 大 值 ， 所 以 Puppet 不 会 做 任何 事情 


依 此 类 推 ， 直 到 第 二 天 再 重复 这 一 过 程 。 
更 多 用 法 
如 果 需 要 ， 你 可 以 增 大 repeat 参数 的 值 ， 例 如 : 在 每 小 时 内 运行 一 个 作业 不 超过 6 


Aa 


period -» hourly, 
repeat => 6, 


要 记 住 这 不 能 保证 每 个 小 时 此 作业 都 会 运行 6 次。 这 只 是 设置 了 一 个 上 限 。 无 论 
Puppet 经 常 运 行 还 是 会 发 生 其 他 情况 ， 如 果 一 个 小 时 内 已 经 运行 了 6 次 就 不 会 再 
次 运行 。 如 果 Puppet 每 天 仅 执 行 一 次 ， 那 么 这 个 作业 也 仅 执行 一 次 。 因此， 要 确 
保 某 事件 在 特定 的 时 间 不 会 发 生 (或 者 不 超过 给 定 的 频率 ) ， 使 用 schedule 是 
最 有 用 的 。 


资源 的 审计 
不 是 每 个 问题 都 有 技术 性 的 答案 。 我 曾经 诊断 过 一 台 服 务 器 ， 它 对 ping、SSH 或 
控制 台 连 接 均 无 响应 。 我 不 能 确定 这 到 底 是 硬件 故障 还 是 软件 故障 。 


当 我 电话 询问 主机 所 在 位 置 的 站 点 客服 时 ， 奥 秘 最 终 被 揭 开 了 。 他 们 告诉 我 : 先期 
20 022 0 IRA BUR > KP TMS > HAA WG 

器 带 出 了 大 厦 。 后 来 我 们 发 现 ， 在 机 房 所 在 的 地 区 (Missouri > M.O.) FÆ 
BHO E 


从 这 个 案例 获得 的 重要 信息 是 : 最 终 知道 了 谁 对 你 的 服务 器 做 了 些 什 么 ， 这 还 是 不 
错 的 。 


模拟 运行 模式 (使 用 --noop 开关 ) 审计 由 Puppet 2 制 的 任何 机 器 的 变化 是 一 种 简 
单 的 方法 。 然而 ，Puppet 还 有 一 个 专门 的 审计 功能 ， 它 可 以 报告 资源 或 特定 属性 
的 变化 。 


操作 步骤 


使 用 audit 元 参数 定义 一 个 资源 : 


file { "/etc/passwd": 
audit => [ owner, mode ], 


} 
工作 原理 
元 参数 (metaparameter) 是 一 种 可 以 应 用 到 任何 资源 的 参数 ， 不 仅 用 于 指定 类 


Ao audit 元 参数 告诉 Puppet， 你 想 要 记录 和 监视 关于 这 个 资源 的 某 些 事件 。 其 
值 可 以 是 你 要 审计 的 一 个 参数 列表 。 


在 本 例 中 ， 一 旦 Puppet 运行 ， 它 就 开始 记录 /etc/passwd 文件 的 属 主 和 权限 模 
式 。 无 论 是 属 主 改变 还 是 权限 改变 ， 例 如 : 如 果 你 运行 了 如 下 命令 


# chmod 666 /etc/passwd 
当下 一 次 运行 Puppet 时 ， 它 将 会 察觉 到 这 个 变化 并 将 其 记 入 日 志 : 


notice: /Stage[main]//Node[cookbook]/File[/etc/passwd]/mode: audit 
change: previously recorded value 644 has been changed to 666 
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更 多 用 法 





对 于 需要 审 记 大 型 网 络 中 的 机 器 所 做 的 任何 改变 (无 论 是 恶意 的 还 是 意外 的 ) 的 情 
况 ， 使 用 audit 特性 是 非常 有 用 的 。 你 还 可 以 使 用 tagmail 报告 特 性 通过 e- A A 
动 发 送审 计 通 知 信 we ° 


对 于 要 时 刻 关注 不 被 Puppet 管理 的 任何 事物 (例如 生产 服务 器 上 的 应 用 程序 代 
码 ) 的 情况 ， 使 用 audit 特性 也 是 非常 方便 的 。 你 可 以 从 
http://www.puppetlabs.com/blog/allabout-auditing-with-puppet/ 获取 更 多 关于 
Puppet 审计 能 力 的 信息 。 


如 果 你 希望 审计 一 个 资源 的 一 切 ， 可 以 使 用 如 下 的 代码 : 


file { "/etc/passwd": 
audit => all, 
} 


见 本 书 
e 第 2 章 的 测试 你 的 Puppet 配置 清单 一 节 
e 第 2 章 的 通过 Email 发 送 包含 特定 标签 的 日 志 信息 一 节 


临时 禁用 资源 
有 时 候 ， 你 希望 在 不 会 干扰 其 他 工作 的 情况 下 临时 禁用 一 个 资源 。 例 如 ， 你 可 能 想 
要 调整 服务 器 ee ' 经 过 Puppet 的 不 断 测试 ， 直 到 获得 你 想 要 的 确 


切 设置 。 在 此 期 间 你 不 想 让 Puppet 履 盖 日 版 本 的 配置 ， 为 此 你 可 以 在 资源 上 设置 
如 下 的 noop 元 参数 : 


noop => true, 


操作 步骤 


1. 添加 如 下 代码 到 你 的 配置 清单 : 


file { "/tmp/test.cfg": 
content =&gt; "Hello, world!\n", 
noop =&gt; true, 


2. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1306159566' 


notice: /Stage[main]//Node[cookbook]/File[/tmp/test.cfg]/ensure 
is absent, should be file (noop) 


notice: Finished catalog run in 0.53 seconds 
[| 


3. 测试 之 后 ， 移 除 noop 参数 : 





file { "/tmp/test.cfg": 
content =&gt; "Hello, world!\n", 
} 


4. 再 次 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1306159705' 


notice: /Stage[main]//Node[cookbook]/File[/tmp/test.cfg]/ensure 
defined content as '{md5}746308829575e17c3331bbcb00c0898b' 


notice: Finished catalog run in 0.52 seconds 


«| — e 





工作 原理 


首次 运行 Puppet 时 ， 由 于 noop 元 参数 被 设置 为 true， 因 此 对 于 这 一 特定 资源 ， 
与 你 使 用 --noop 标志 运行 Puppet 的 效果 是 一 样 的 。 Puppet 会 指出 此 资源 将 被 应 
用 ， 除 此 之 外 什么 也 没 做 。 


再 次 运行 Puppet 时 ， 由 于 noop 元 参数 被 移 除 ， 所 以 此 资源 会 被 正常 地 应 用 到 节 
点 


o 
AN 


管理 时 区 

| try to take one day at a time, but sometimes several days attack at once 

— Ashleigh Brilliant 
你 迟早 会 遭遇 由 于 服务 器 的 时 区 不 同 而 带 来 的 各 种 奇怪 问题 。 为 了 避免 此 类 问题 的 
发 生 ， 确 保 所 有 服务 器 都 使 用 相同 的 时 区 是 明智 之 举 。 无 论 这 些 服务 器 所 处 的 地 理 
位 置 在 何 处 ， 都 应 该 使 用 相同 的 时 区 (GMT 是 合乎 逻辑 的 选择 ) e 
除非 服务 器 是 由 太阳 能 供电 的 ， 否 则 我 认为 没有 任何 理由 不 关心 服务 器 的 时 区 设 
置 。 


操作 步骤 
1. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/admin/manifests/gmt.pp 文件 : 


class admin: :gmt 
file { "/etc/localtime": 


ensure =&gt; link, 
target =&gt; "/usr/share/zoneinfo/GMT", 


2. 在 所 有 的 节点 中 添加 如 下 代码 : 
include admin::gmt 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1304955158' 


info: FileBucket adding /etc/localtime as {md5}02b73b0cfOd96e2f 
ae56b178bf58e 


info: /Stage[main]/Admin::Gmt/File[/etc/localtime]: Filebuckete 
etc/localtime to puppet with sum 02b73b0cfO0d96e2f75cae56b178bFfE 


notice: /Stage[main]/Admin::Gmt/File[/etc/localtime]/ensure: 
ensure changed 'file' to 'link' 


notice: Finished catalog run in 1.94 seconds 





更 多 用 法 


如 果 你 想 要 使 用 其 他 的 时 区 ， 请 在 /usrshare/zoneinfo 中 选择 相应 的 文件 ， 例 如 : 
US/Eastern ° 


应 用 程序 


The best software in the world only sucks. The worst software is significantly 
worse than that. 


— Luke Kanies 


在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 


如 果 


管理 Apache 服务 

创建 Apache 虚拟 主机 
创建 Nginx 虚拟 主机 

创建 MySQL 数据 库 及 用 户 
管理 Drupal 站 点 
管理 Rails 应 用 程序 


没有 应 用 程序 ， 服务器 仅仅 是 一 个 非常 昂贵 的 空间 加 热 器 。 本 草 将 介绍 一 些 使 


用 Puppet 管理 一 些 特定 应 用 程序 的 处 方 : MySQL、Apache、Nginx、Rails 和 
Drupal。 这 些 都 是 非常 流行 的 应 用 程序 ， 所 以 这 对 你 会 很 有 用 。 然而 ， 它 们 使 用 


的 模 


式 和 技术 几乎 适用 于 任何 软件 ， 所 以 适当 改写 这 些 处 方 以 适应 自己 的 目的 并 非 


难事 。 


管理 Apache 服务 


Apache 是 一 款 流 行 的 web 服务 器 ， 然 而 对 于 其 配置 者 来 说 并 不 轻松 。 Puppet 可 
以 在 一 定 程 度 上 缓解 配置 者 因 管 理 Apache 服务 器 所 带 来 的 痛苦 。 


操作 步骤 
1. 如 果 Apache 模块 还 不 存在 就 创建 它 : 


# mkdir /etc/puppet/modules/apache 
# mkdir /etc/puppet/modules/apache/templates 
# mkdir /etc/puppet/modules/apache/manifests 


2. 使 用 如 下 内 容 创建 /etc/puppet/modules/apache/manifests/init.pp 文件 : 


class apache { 
package { "apache2-mpm-prefork": ensure =&gt; installed } 


service { "apache2": 
enable -&gt; true, 
ensure =&gt; running, 
require -&gt; Package["apache2-mpm-prefork"], 


j 


file ( "/etc/apache2/logs": 
ensure =&gt; directory, 
require -&gt; Package["apache2-mpm-prefork"], 

} 

file { "/etc/apache2/conf .d/name-based-vhosts.conf": 
content =&gt; "NameVirtualHost *:80", 


require -&gt; Package["apache2-mpm-prefork"], 
notify =&gt; Service["apache2"], 


e—'ÓÁÁewsS wa[ 
3. 在 一 个 节点 中 添加 如 下 代码 : 


include apache 


4. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1309189590' 


notice: /Stage[main]/Apache/Package[apache2-mpm-prefork]/ensure 
ensure changed 'purged' to 'present' 


notice: /Stage[main]/Apache/File[/etc/apache2/logs]/ensure: 
created 


notice: /Stage[main]/Apache/File[/etc/apache2/conf .d/name-basec 
conf]/ensure: defined content as '{md5}78465aacbd01eb537b94 
1b21ae0af8b8' 


info: /Stage[main]/Apache/File[/etc/apache2/conf.d/name-basedvt 
conf]: Scheduling refresh of Service[apache2] 


notice: Finished catalog run in 39.45 seconds 


ES 
更 多 用 法 


在 下 一 节 中 ， 我 们 将 看 到 如 何 为 Apache 定义 虚拟 主机 的 内 容 。 然而 你 可 能 会 发 
3L HERA E+ Apache 服务 器 (包括 虚拟 主机 ) 提供 特殊 的 配置 选项 。 你 可 以 
使 用 Puppet 通过 部 署 apache2.conf 来 配置 这 些 选项 ， 但 是 将 配置 片段 放 在 
/etc/apache2/conf.d 目录 中 会 更 加 整洁 清晰 。 例 如 ， 你 可 以 在 init.pp 中 添加 如 下 
代码 : 





define snippet() { 
file { "/etc/apache2/conf.d/${name}": 
source => "puppet:///modules/apache/${name}", 
notify => Service["apache2"], 


并 在 节点 上 包含 如 下 的 代码 片段 : 


apache::snippet { "site-specific.conf": } 


创建 Apache 虚拟 主机 


使 用 ERB 模板 配置 虚拟 主机 是 一 种 常见 的 应 用 ， 因 为 每 个 虚拟 主机 配置 的 实例 通 
常 都 使 用 类 似 的 样板 代码 ， 只 有 一 两 个 变量 的 值 不 同 而 已 。 显 然 ， 对 于 某 些 网 站 或 
应 用 程序 来 说 ， 你 需要 在 虚拟 主机 的 定义 中 指定 特殊 的 配置 选项 ， 然 而 这 些 特殊 选 
项 又 不 能 通过 一 个 简单 的 模板 来 配置 ?一 ?但 是 ， 不 管 怎样 ， 使 用 一 个 模板 配置 一 些 
简单 的 站 点 将 会 节省 时 间 、 避 免 重复 劳动 。 


操作 步骤 
1. 添加 如 下 代码 到 /etc/puppet/modules/apache/manifests/init.pp : 


define site( $sitedomain = "", $documentroot = "" ) { 
include apache 


if $sitedomain == "" { 
$vhost_domain = $name 
} else { 
$vhost_domain = $sitedomain 
J 
if $documentroot == "" { 
$vhost_root = "/var/www/${name}" 
) else { 
$vhost root - $documentroot 
} 


file { "/etc/apache2/sites-available/${vhost_domain}.conf": 
content =&gt; template("apache/vhost.erb"), 
require -&gt; File["/etc/apache2/conf .d/name-basedvhost 
notify -&gt; Exec["enable-${vhost_domain}-vhost"], 


} 

exec { "enable-${vhost domain}-vhost": 
command =&gt; "/usr/sbin/a2ensite ${vhost domain}.c 
require -&gt; [ File["/etc/apache2/sites-available/ 


vhost_domain}.conf"], Package["apache2-mpm-prefork"] ], 
refreshonly -&gt; true, 
notify -&gt; Service["apache2"], 





2. 使 用 如 下 内 容 创建 Jetc/puppet/modules/apache/templates/vhost.erb 文件 : 


&lt;VirtualHost *:80&gt; 
ServerName &1t;%= vhost domain %&gt; 
ServerAdmin admin@&lt;%= vhost domain %&gt; 
DocumentRoot &lt;%= vhost root %&gt; 
ErrorLog logs/&lt;%= vhost domain %&gt;-error_log 
CustomLog logs/&lt;%= vhost domain 96&gt; access log common 


&lt;Directory /var/www/&lt;%= vhost domain %&gt;&gt; 
Allow from all 
Options +Includes +Indexes +FollowSymLinks 
AllowOverride all 
&lt;/Directory&gt; 
&lt;/VirtualHost&gt; 


&lt;VirtualHost *:80&gt; 
ServerName www.&l1t;%= vhost domain %&gt; 


Redirect 301 / http://&lt;%= vhost domain %&gt;/ 
&lt;/VirtualHost&gt; 


A —ÀHBH: 
3. 添加 如 下 代码 到 一 个 节点 : 


apache::site { "keithlard.com": } 


4. 运行 Puppet : 


Se ae: 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1309190720' 


notice: /Stage[main]//Node[cookbook]/Apache: :Site[keithlard.con 
File[/etc/apache2/sites-available/keithlard.com.conf]/ensure: 
defined content as '{md5}f2a558c02beeaed4beb7da250821b663 ' 


info: /Stage[main]//Node[cookbook]/Apache: :Site[keithlard.com]/ 
File[/etc/apache2/sites-available/keithlard.com.conf]: Scheduli 
refresh of Exec[enable-keithlard.com-vhost] 


notice: /Stage[main]//Node[cookbook]/Apache: :Site[keithlard.con 
Exec[enable-keithlard.com-vhost]: Triggered 'refresh' from 1 
events 


info: /Stage[main]//Node[cookbook]/Apache: :Site[keithlard. 
com]/Exec[enable-keithlard.com-vhost]: Scheduling refresh of 
Service[apache2] 


notice: /Stage[main]/Apache/Service[apache2]: Triggered 'refres 
from 2 events 
notice: Finished catalog run in 3.79 seconds 





工作 原理 


名 为 apache::site 的 define 使 用 vhost.erb 模板 生成 Apache 虚拟 主机 的 定义 。 默 
认 情 况 下 ， 假 设 站 点 的 域名 与 站 点 实例 的 名 字 相 同 ， 本 例 中 是 keithlard.com。 所 
以 当 Puppet 看 到 如 下 代码 时 : 


apache::site { "keithlard.com": } 


它 就 使 用 keithlard.com 作为 站 点 域名 。 如 果 你 要 指定 不 同 的 域名 ， 请 添加 
sitedomain 参数 : 


apache::site { "networkr_production": 


} 


sitedomain => "networkr.com", 


apache::site { "networkr_staging": 


} 


sitedomain => "staging.networkr.com", 


模板 系统 的 优秀 之 处 在 于 : 如 果 你 想 为 所 有 站 点 重新 配置 一 个 值 (例如 ， 更 改 管理 
员 的 e-mail 地 址 ) ， 你 只 需要 修改 一 次 模板 ，Puppet 就 会 根据 模板 相应 地 更 新 所 
有 的 虚拟 主机 。 


同样 地 ， 如 果 你 需要 为 虚拟 主机 指定 与 默认 值 (/var/www/${name}) 不 同 的 
DocumentRoot ， 请 添加 如 下 的 documentroot 参数 : 


apache::site { "communitysafety.org": 
documentroot => "/var/apps/commsafe", 


j 


更 多 用 法 
在 前 面 的 例子 中 ， 我 们 只 在 模板 中 定义 了 一 个 变量 ， 但 只 要 你 愿意 ， 你 可 以 使 用 更 
多 的 变量 。 它们 也 可 以 是 facts， 例 如 : 

ServerName <%= fqdn %> 


或 者 Ruby 表达 式 : 


ServerAdmin<%= emails["admin"] %> 


或 者 任何 你 要 执行 的 Ruby 代码 : 





ServerAdmin <%= vhost domain == 'coldcomfort.com' ? 'seth@coldcomf 
com' : 'flora@poste.com' %> 
_—_————_——— ee re qr 


参见 本 书 


e 第 5 章 的 在 模板 中 遍历 数组 一 节 


创建 Nginx 虚拟 主机 


Nginx 是 一 个 快速 的 、 轻 量 级 的 Web 服务 器 软件 ， 在 许多 情况 下 它 已 取代 了 
Apache， 尤 其 是 运行 Web 应 用 程序 的 情况 。 然而， 其 配置 语言 与 Apache 相 比 并 
没有 做 什么 重大 改进 ， 仍 然 不 够 简单 清晰 。 此 外 ， 大 多 数 的 配置 文档 只 有 俄语 版 ， 
这 也 就 解释 了 为 什么 你 看 到 这 么 多 份 关 于 "Understanding Russian for Nginx 
Administrators" 的 拷贝 。 


准备 工作 


你 需要 当 文件 更 新 时 运行 命令 一 节 中 曾 使 用 的 Nginx 模块 。 如 果 你 像 本 章 管理 
Apache 服务 一 节 中 那样 创建 了 Apache 模块 ， 你 还 需要 使 用 如 下 命令 关闭 
Apache 服务 : 


# service apache2 stop 


操作 步骤 
1. 添加 如 下 代码 到 /etc/puppet/modules/nginx/manifests/init.pp : 


define site( $sitedomain = "" ) { 
include nginx 


if $sitedomain == "" { 
$vhost_domain = $name 
) else { 


$vhost_domain = $sitedomain 


} 


file ( "/etc/nginx/sites-available/${vhost_domain}.conf": 
content -&gt; template("nginx/vhost.erb"), 
require -&gt; Package["nginx"], 


} 


file { "/etc/nginx/sites-enabled/${vhost_domain}.conf": 
ensure =&gt; link, 
target -&gt; "/etc/nginx/sites-available/${vhost_domai 
conf", 
require -&gt; File["/etc/nginx/sites-available/${vhost_ 
domain).conf"], 
notify =&gt; Exec["reload nginx"], 
} 


‘| 








2. 18 M to F A 841 /etc/puppet/modules/nginx/templates/vhost.erb 文件 : 


server { 
listen 80; 
server name &1t;%= vhost domain %&gt;; 
access log /var/log/nginx/&lt;%= vhost domain %&gt; -access_ 
root /var/www/&lt;%= vhost domain %&gt;; 


‘| = —] 








. 创建 目录 /varwww/bbqrecipes.com， 使 用 适当 的 信息 创建 此 目录 下 的 
index.html 文件 : 


Welcome to the BBQ Recipes site! 


.添加 如 下 代码 到 一 个 节点 : 


nginx::site { "bbqrecipes.com": } 


.运行 Puppet : 


# puppet agent -test 


info: Retrieving plugin info: Caching catalog for cookbook. 
bitfieldconsulting.com info: Applying configuration version 
'1309198476' 


notice: /Stage[main]/Nginx/Package[nginx]/ensure: ensure change 
'purged' to 'present' 


notice: /Stage[main]//Node[cookbook]/Nginx::Site[bbqrecipes.con 
File[/etc/nginx/sites-available/bbqrecipes.com.conf]/ensure: 
defined content as '{md5}fa92d2e7543b378e26827a063be34a31' 


notice: /Stage[main]//Node[cookbook]/Nginx::Site[bbqrecipes.con 
File[/etc/nginx/sites-enabled/bbqrecipes.com.conf]/ensure: cree 


info: /Stage[main]//Node[cookbook]/Nginx::Site[bbqrecipes.com]/ 
File[/etc/nginx/sites-enabled/bbqrecipes.com]: Scheduling refre 
of Exec[reload nginx] 


notice: /Stage[main]/Nginx/Service[nginx]/ensure: ensure change 
'stopped' to 'running' 


notice: /Stage[main]/Nginx/Exec[reload nginx]: Triggered 'refre 
from 1 event 


notice: Finished catalog run in 21.45 seconds 








工作 原理 


以 bbqrecipes.com 为 资源 名 对 名 为 nginx::site 的 define 创建 一 个 实例 ，Puppet 
会 使 用 变量 vhost_domain 的 值 bbqrecipes.com 调用 vhost.erb 模板 生成 相应 的 配 
置 文件 bbqrecipes.com.conf » 此 文件 包含 了 Nginx 为 了 响应 对 domain 的 请 求 所 
需要 知道 的 一 切 ， 并 且 指 明了 与 domain 对 应 的 根 文档 目录 所 映射 的 文件 系统 位 
zs 


更 多 用 法 


与 Apache 不 同 ，Nginx 直到 现在 还 不 支持 动态 模块 。 这 就 意味 着 ， 如果 想 为 其 添 
加 上 默认 不 包含 的 特殊 功能 ， 你 必须 自己 重新 编译 Nginx o 正确 的 做 法 是 ， 使 用 你 想 
要 的 选项 编译 Nginx， 然 后 创建 一 个 软件 包 ， 将 其 放 在 自己 的 仓库 中 (参见 配置 
APT 软件 仓库 一 节 的 描述 ) 提供 给 需要 它 的 节点 使 用 。 


然而 ， 一 些 使 用 Puppet 的 系统 管理 员 希 望 省 略 这 个 步骤 ， 直 接 提供 源码 包 并 在 目 
标 服务 器 上 编译 。 为 了 实现 这 点 ， 可 以 使 用 exec 资源 通过 类 似 于 从 源码 包 自 动 构 
建 软件 一 节 中 描述 的 模式 实现 。 对 于 敏捷 开发 环境 而 言 ， 被 管理 的 有 关 产 品 几乎 
每 隔 几 天 就 会 有 所 变化 ， 在 这 种 情况 下 ， 使 用 这 种 做 法 比 不 断 重 构 软 件 包 要 迅速 且 
节省 由 于 重 构 软 件 包 带 来 的 成 本 。 


参见 本 书 


e. AEN PH Rails 应 用 程序 一 节 


创建 MySQL 数据 库 及 用 户 


MySQL 是 一 个 使 用 广泛 的 数据 库 服务 器 ， 你 肯定 会 在 某 些 节点 上 安装 配置 MySQL 
服务 器 。 本 节 将 向 你 展示 如 何 安装 配置 MySQL 服务 器 ， 以 及 如 何 为 应 用 程序 自动 
创建 数据 库 和 用 户 。 


准备 工作 
1. 如 果 你 还 没有 MySQL 模块 ， 先 创建 一 个 : 


# mkdir /etc/puppet/modules/mysql 
# mkdir /etc/puppet/modules/manifests 
# mkdir /etc/puppet/modules/files 


2. 1£ M de T A 4) /etc/puppet/modules/mysql/manifests/server.pp 文件 : 


class mysql::server { 
package ( "mysql-server": ensure =&gt; installed } 


service ( "mysql": 
enable -&gt; true, 
ensure -&gt; running, 
require -&gt; Package["mysql-server"], 


j 


file ( "/etc/mysql/my.cnf": 
owner -&gt; "mysql", group -&gt; "mysql", 
source -&gt; "puppet:///mysql/my.cnf", 
notify -&gt; Service["mysql"], 
require -&gt; Package["mysql-server"], 


j 


exec ( "set-mysql-password": 
unless -&gt; "/usr/bin/mysqladmin -uroot -p$(mysql pass 
status", 
command =&gt; "/usr/bin/mysqladmin -uroot password ${my 
password}", 
require =&gt; Service["mysql"], 





3. 使 用 如 下 内 容 创建 letc/puppet/modules/mysql/files/my.cnf 文件 : 


[client ] 
port = 3306 
socket = /var/run/mysqld/mysqld. sock 


[nysqld safe] 
socket = /var/run/mysqld/mysqld. sock 
nice - 0 


[mysqld] 

user = mysql 

socket = /var/run/mysqld/mysqld. sock 
port = 3306 

datadir = /var/lib/mysql 


!includedir /etc/mysql/conf.d/ 
4. 添加 如 下 代码 到 Jetc/puppet/manifests/site.pp 文件 : 
$mysql password = "Secret" 


5. 运行 Puppet : 


eo 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1309448283' 


notice: /Stage[main]/Mysql: :Server/Package[mysql-server ]/ensure 
ensure changed 'purged' to 'present' 


notice: /Stage[main]/Mysql::Server/File[/etc/mysql/my.cnf]/owne 
owner changed 'root' to 'mysql' 


notice: /Stage[main]/Mysql: :Server/File[/etc/mysql/my.cnf]/grotv 
group changed 'root' to 'mysql' 


info: /Stage[main]/Mysql: :Server/File[/etc/mysql/my.cnf]: 
Scheduling refresh of Service[mysql] 


info: /Stage[main]/Mysql: :Server/File[/etc/mysql/my.cnf]: 
Scheduling refresh of Service[mysql] 


notice: /Stage[main]/Mysql::Server/Service[mysql]/enable: enabl 
changed 'false' to 'true' 


notice: /Stage[main]/Mysql::Server/Service[mysql]: Triggered 
'refresh' from 2 events 


notice: Finished catalog run in 61.78 seconds 





操作 步骤 
1. 添加 如 下 代码 到 /etc/puppet/modules/mysql/manifests/server.pp 文件 : 


define db( $user, $password ) { 
include mysql::server 


exec ( "create-${name}-db": 
unless =&gt; "/usr/bin/mysql -u${user} -p${password}${ 
command =&gt; "/usr/bin/mysql -uroot -p${mysql_passworc 
\"create database ${name}; grant all on ${name}.* to 
${user}@localhost identified by '$password'; flush 
privileges;\"", 
require =&gt; Service["mysql"], 
} 
} 








2. 添加 如 下 代码 到 一 个 节点 : 


mysql::server::db { "johnstest": 
user =&gt; "john", 
password -&gt; "johnstest", 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1309449259' 


notice: /Stage[main]//Node[cookbook]/Mysql::Server: :Db[johnstes 
Exec[create-johnstest-db]/returns: executed successfully 


notice: Finished catalog run in 1.61 seconds 
EJES 
4. 检查 数据 库 是 否 已 经 创建 ， 以 及 用 户 和 权限 的 正确 性 : 





# mysql -ujohn -pjohnstest johnstest 


Reading table information for completion of table and column ne 
You can turn off this feature to get a quicker startup with -A 


Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 36 
Server version: 5.1.41-S3ubuntu12.10 (Ubuntu) 


Type 'help;' or '\h' for help. Type 'Nc' to clear the current 
input statement. 


mysql&gt; 





工作 原理 


mysql::server 类 安装 MySQL， 并 使 用 你 在 site.pp 文件 中 设置 的 root 用 户口 令 配 
置 MySQL ° 名 为 mysql:server::db 的 define 允许 我 们 使 用 一 个 指定 的 名 字 创 建 数 
据 库 ， 以 及 一 个 能 访问 此 数据 库 的 相关 的 MySQL 用 户 。 例如 ， 一 个 典型 的 web 
应 用 程序 可 能 需要 一 个 以 应 用 程序 命名 的 数据 库 ， 以 及 一 个 可 以 登录 数据 库 的 特定 
用 户 名 。 


更 多 用 法 


要 创建 多 个 数据 库 ， 只 需 添加 多 个 mysql::server::db 实例 : 


mysql::server::db { [ "testi", "test2", "test3" ]: 
user => "john", 
password => "johnstest", 


管理 Drupal 站 点 


Drupal 是 一 个 内 容 管 理 系 统 ， 它 通过 插 拔 组 装 一 系列 钠 装 的 模块 让 你 快速 构建 网 
3b, 它 使 用 户 创建 和 编辑 自己 的 内 容 变 的 相对 容易 。Drupal 特别 适合 使 用 Puppet 
来 管理 ， 因 为 有 一 个 强大 的 命令 行 工具 drush ， 你 可 以 使 用 这 个 工具 安装 、 管 理 
Drupal 站 点 。 

如 果 我 们 将 自动 化 管理 Drupal 站 点 的 drush 工具 与 我 们 已 经 创建 的 用 于 管理 
MySQL 数据 库 和 Apache 虚拟 主机 的 Puppet 处 方 相 结合 , 就 可 以 使 用 单一 资源 创 
建 一 个 安装 Drupal 站 点 所 需 一 切 的 新 处 方 。 


准备 工作 
1. 创建 一 个 新 的 drupal 模块 如 下 : 


# mkdir /etc/puppet/modules/drupal 
# mkdir /etc/puppet/modules/drupal/manifests 


2. 1£ M de T A 4) /etc/puppet/modules/drupal/manifests/init.pp 文件 : 


class drupal { 
$drupalversion = "7.2" 


exec { "download-drush": 
cwd =&gt; "/root", 
command =&gt; "/usr/bin/wget http://ftp.drupal.org/file 
projects/drush-7.x-4.4.tar.gz ", 
creates =&gt; "/root/drush-7.x-4.4.tar.gz", 
require =&gt; Package["php5-mysql"], 


} 
exec { "install-drush": 
cwd -&gt; "/usr/local", 
command -&gt; "/bin/tar xvzf /root/drush-7.x-4.4.tar.gz 
creates -&gt; "/usr/local/drush", 
require -&gt; Exec["download-drush"], 
} 


file { "/usr/local/bin/drush": 
ensure =&gt; link, 
target =&gt; "/usr/local/drush/drush", 
require =&gt; Exec["install-drush"], 


} 


exec { "install-drupal": 
cwd =&gt; "/var/www", 
command =&gt; "/usr/local/drush/drush dl drupal- 
${drupalversion}", 
creates =&gt; "/var/www/drupal-${drupalversion}", 
require =&gt; Exec["install-drush"], 


} 


file { "/var/www/drupal": 
ensure =&gt; link, 
target -&gt; "/var/www/drupal-${drupalversion}", 
require -&gt; Exec["install-drupal"], 


} 


package { [ "libapache2-mod-php5", 
"php5-mysql" ]: ensure =&gt; installed } 


exec ( "enable-mod-php5": 
command =&gt; "/usr/bin/a2enmod php5", 
creates -&gt; "/etc/apache2/mods-enabled/php5.conf", 
require -&gt; Package["libapache2-mod-php5"], 











1. Æ init.pp 文件 的 drupal 类 中 添加 如 下 内 容 : 


define site( $password, $sitedomain = "" ) { 
include drupal 


if $sitedomain == "" { 
$drupal_domain = $name 
} else { 
$drupal_domain = $sitedomain 
} 
$dbname = regsubst( $drupal_domain, "\.", "" ) 


mysql::server::db { $dbname: 
user -&gt; $dbname, 
password -&gt; $password, 


} 


exec { "Site-install-${name}": 
cwd =&gt; "/var/www/drupal", 
command =&gt; "/usr/local/bin/drush site-install -y 
--Site-name=${name} --sites-subdir=${drupal_domain} 
--db-url=mysql://${dbname}:${password}@localhost/${dbname}", 
creates =&gt; "/var/www/drupal/sites/${drupal_domain}", 
require =&gt; [ File["/var/www/drupal"], Exec["install- 
Mysql: :Server::Db[$dbname] ], 
logoutput =&gt; on_failure, 
} 


apache::site { $drupal_domain: 
documentroot =&gt; "/var/www/drupal", 





2. 添加 如 下 内 容 到 一 个 节点 : 


drupal::site { "crispinfo.com": 
password =&gt; "crunch", 
} 


3. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1309783783' 


notice: /Stage[main]//Node[cookbook]/Drupal: :Site[crispinfo.con 
Mysql: :Server: :Do[crispinfocom]/Exec[create-crispinfocom-db]/ 
returns: executed successfully 


notice: /Stage[main]//Node[cookbook]/Drupal: :Site[crispinfo.con 
Apache: :Site[crispinfo.com]/File[/etc/apache2/sites-available/ 
crispinfo.com.conf]/ensure: defined content as '{md5}15c5bbf fae 
fce0b8a3996914af549' 


info: /Stage[main]//Node[cookbook]/Drupal: :Site[crispinfo.com]/ 
Apache: :Site[crispinfo.com]/File[/etc/apache2/sites-available/ 
crispinfo.com.conf]: Scheduling refresh of Exec[enable-crispinf 
com-vhost ] 


notice: /Stage[main]//Node[cookbook]/Drupal: :Site[crispinfo.con 
Apache: :Site[crispinfo.com]/Exec[enable-crispinfo.com-vhost ]: 
Triggered 'refresh' from 1 events 


info: /Stage[main]//Node[ cookbook ]/Drupal: :Site[crispinfo.com]/ 
Apache: :Site[crispinfo.com]/Exec[enable-crispinfo.com-vhost]: 
Scheduling refresh of Service[apache2 ] 


notice: /Stage[main]/Apache/Service[apache2]: Triggered 'refres 
from 1 events 


notice: /Stage[main]//Node[cookbook]/Drupal: :Site[crispinfo.con 
Exec[site-install-crispinfo.com]/returns: executed successfully 
notice: Finished catalog run in 22.51 seconds 


EE) 


4. 在 /etc/hosts 文件 中 创建 一 个 条 目 将 crispinfo.com 指向 你 正在 使 用 的 节点 
(如 果 还 没 设置 DNS) : 





10.0.2.15 crispinfo.com 


ees a 。 你 应 该 看 到 Drupal 44) 
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@ Welcome to crispinfo.com | cris... Gp 


nis Welcome to crispinfo.com 
Username * 

No front page content has been created yet. 
Password * 


* Create new account 


e Request new password 


Log in 






















使 用 由 drush site-install 创建 的 默认 的 管理 员 登 录 ， 用 户 名 为 admin 其 口令 为 
admin 。 显然 你 应 该 为 实际 生产 线 上 的 站 点 设置 强壮 的 口令 (查看 drush 文档 


获得 如 何 使 用 命令 行 工具 设置 的 信息 ) 。 


ALTA! 尤其 是 drupal 类 首先 安装 drush， 然 后 使 用 它 安 装 Drupal 的 核心 代 


码 (你 可 以 通过 修改 $drupalversion 的 值 改 变 版 本 ) 。 


drupal::sitedefine 为 你 想 要 创建 的 每 个 站 点 运行 drush site-install 。 在 我 们 的 例子 
中 ， 创 建 了 一 个 名 为 crispinfo.com 的 站 点 并 为 其 传递 了 站 点 数据 库 使 用 的 口令 ， 


其 余 的 工作 都 由 drush 去 完成 。 
drupal::site 也 为 我 们 的 站 点 创建 了 所 需 的 Apache 虚拟 主机 (使 用 本 章 创建 


Apache 虚拟 主机 一 节 中 的 处 方 ) 和 MySQL 数据 库 (使 用 本 章 创建 MySQL 数据 


库 及 用 户 一 节 中 的 处 方 ) 。 
更 多 用 法 


管理 Drupal 站 点 


241 


要 管理 Drupal 站 点 ，drush 可 以 帮 你 做 很 多 事 ， 包 括 更 新 Drupal 的 核心 代码 、 安 
装 模 块 和 主题 模板 、 管 理 用 户 以 及 备份 站 点 数据 库 等 。 你 可 以 在 http://drush.ws/ 
找到 更 多 关于 drush 的 信息 。 


管理 Rails 应 用 程序 


Rails 是 一 个 非常 受 欢 迎 的 Web 应 用 程序 框架 〈 从 某 种 意义 上 说 ， 是 由 于 它 被 广泛 
应 用 而 不 是 人 们 申 正 喜欢 它 ) 。 因此 ， 在 某 些 时 候 ， 你 可 能 会 被 要 求 管理 它 。 本 

节 要 介绍 的 处 方 包含 了 安装 一 台 运 行 Rails 应 用 程序 服务 器 所 要 做 的 绝 大 部 分 工 

作 。 本 处 方 假定 你 会 使 用 Nginx 和 Passenger 作为 Web 服务 器 ， 然 而 你 也 可 以 
轻松 地 修改 本 处 方 ， 使 用 Apache 替换 它 。 


操作 步骤 
1. 创建 rails 模块 的 目录 结构 : 


# mkdir /etc/puppet/modules/rails 

# mkdir /etc/puppet/modules/rails/manifests 
# mkdir /etc/puppet/modules/rails/templates 
# mkdir /etc/puppet/modules/rails/files 


2. 18 M 40 F A 41 /etc/puppet/modules/rails/manifests/init.pp 文件 : 


class rails { 
include rails: : passenger 


package { "bundler": 
provider =&gt; gem, 
ensure =&gt; installed, 


} 


define app( $sitedomain ) { 
include rails 


file { "/opt/nginx/sites-available/${name}.conf": 
content =&gt; template("rails/app.conf.erb"), 
require -&gt; File["/opt/nginx/sites-available"], 


j 


file ( "/opt/nginx/sites-enabled/${name}.conf": 
ensure =&gt; link, 
target -&gt; "/opt/nginx/sites-available/${name}.cor 
require -&gt; File["/opt/nginx/sites-enabled"], 
notify -&gt; Exec["reload-nginx"], 


j 


file ( "/opt/nginx/conf/includes/${name}.conf": 
source -&gt; [ "puppet:///modules/rails/${name}.conf" 
"puppet:///modules/rails/empty.conf" ], 
notify -&gt; Exec["reload-nginx"], 


j 


file ( [ "/var/www", 

"/var/www/${name}", 
"/var/www/${name}/releases", 
"/var/www/${name}/shared", 
"/var/www/${name}/shared/config", 
"/var/www/${name}/shared/log", 
"/var/www/${name}/shared/system" ]: 

ensure =&gt; directory, 

mode =&gt; 775, 

owner =&gt; "www-data", 

group =&gt; "www-data", 





3. 1£ M de T A 4) /etc/puppet/modules/rails/manifests/passenger.pp 文件 : 


class rails::passenger { 
$passenger_version = "3.0.7" 
$passenger_dependencies = [ "build-essential", 
"libcurl4-openssl-dev", 


"libssl-dev", 
"n ruby" > 
"rubygems" ] 


package { $passenger dependencies: ensure -&gt; installed } 
exec ( "install-passenger": 
command =&gt; "/usr/bin/gem install passenger 
--version=${passenger_version}", 
unless =&gt; "/usr/bin/gem list | /bin/grep passenger 
grep ${passenger_version}", 
require =&gt; [ Package["rubygems"], Package[$passenger 
dependencies] ], 
timeout =&gt; "-1", 
} 


exec { "install-passenger-nginx-module": 
command =&gt; "/usr/lib/ruby/gems/1.8/gems/passenger - 
${passenger_version}/bin/passenger -install-nginx-module 
--auto --auto-download --prefix=/opt/nginx", 
creates =&gt; "/opt/nginx/sbin/nginx", 
require =&gt; Exec["install-passenger"], 
timeout =&gt; "-1", 
} 


file { [ "/opt/nginx", 

"/opt/nginx/conf", 
"/opt/nginx/conf/includes", 
"/opt/nginx/sites-enabled", 
"/opt/nginx/sites-available", 
"/var/log/nginx" ]: 

ensure -&gt; directory, 

owner -&gt; "www-data", 

group -&gt; "www-data", 


} 


file { "/opt/nginx/sites-enabled/default": 
ensure =&gt; absent, 
require -&gt; Exec["install-passenger-nginx-module"], 


} 


file { "/opt/nginx/conf/nginx.conf": 
content =&gt; template("rails/nginx.conf.erb"), 
notify =&gt; Exec["reload-nginx"], 
require =&gt; Exec["install-passenger-nginx-module"], 


} 


file { "/etc/init.d/nginx": 
source =&gt; "puppet:///modules/rails/nginx.init", 
mode =&gt; "700", 
require -&gt; Exec["install-passenger-nginx-module"], 


j 


service { "nginx": 


enable =&gt; true, 
ensure =&gt; running, 
require =&gt; File["/etc/init.d/nginx"], 


} 

exec { "reload-nginx": 
command =&gt; "/opt/nginx/sbin/nginx -t && /etc/ini 
refreshonly =&gt; true, 
require =&gt; Exec["install-passenger -nginx-module" 

} 

} 
«| = —E 








4. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/rails/templates/app.conf.erb 文件 : 


server { 
listen 80; 
root /var/www/&lt;%= name %&gt;/current/public; 
server name &l1t;%= sitedomain %&gt;; 
access log /var/log/nginx/&lt;%= name %&gt;.access.log; 
error log /var/log/nginx/&lt;%= name %&gt;.error.1log; 


passenger enabled on; 


passenger min instances 1; 


j 


passenger pre start http://&lt;%= sitedomain %&gt;; 


5. 使 用 如 下 内 容 创建 Jetc/puppet/modules/rails/templates/nginx.conf.erb 文件 : 


events { 
worker_connections 1024; 
use epoll; 


} 


http { 
passenger root /usr/lib/ruby/gems/1.8/gems/passenger -&1t ; %= 
passenger version %&gt;; 


server names hash bucket size 64; 


sendfile on; 

tcp nopush on; 

tcp nodelay off; 

client body temp path /var/spool/nginx-client-body 1 2; 





client max body size 100m; 


include /opt/nginx/conf/mime.types; 

default type application/octet-stream; 

log format main '$remote addr - $remote user [$time local] ' 
$request" $status $body bytes sent "$http referer" ' 
'"$http user agent" "$http x forwarded for"' ; 


access log /var/log/nginx/access.log main; 


gzip on; 

gzip http version 1.0; 

gzip comp level 2; 

gzip proxied any; 

gzip min length 1100; 

gzip buffers 16 8k; 

gzip types text/plain text/html text/css application/x-javasc 
text/xml application/xml application/xml+rss text/javascript 

gzip disable "MSIE [1-6].(?!.*SV1)"; 

gzip vary on; 


include /opt/nginx/sites-enabled/*; 





6. 使 用 如 下 内 容 创 建 letc/puppet/modulesrrails/files/nginx.init 文件 : 


#!/bin/sh 


### BEGIN INIT INFO 

# Provides: nginx 

4 Required-Start: $all 

4 Required-Stop: $all 

# Default-Start: 2345 


# Default-Stop: 0 1 6 

# Short-Description: starts the nginx web server 

# Description: starts nginx using start-stop-daemon 
### END INIT INFO 


PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin: /usr/k 
DAEMON=/opt/nginx/sbin/nginx 

NAME=nginx 

DESC=nginx 


test -x $DAEMON || exit 0 


# Include nginx defaults if available 
if [ -f /etc/default/nginx ] ; then 

. /etc/default/nginx 
fi 


set -e 


# Return LSB status, grabbed from a newer lsb-base 
status_of_proc () { 
local pidfile daemon name status 


pidfile= 
OPTIND=1 
while getopts p: opt ; do 
case "$opt" in 
p) pidfile-"$0PTARG";; 
esac 
done 


shift $(($OPTIND - 1)) 


if [ -n "$pidfile" ]; then 
pidfile-"-p $pidfile" 


fi 
daemon="$1" 

name="$2" 

status="0" 


pidofproc $pidfile $daemon &gt;/dev/null || status="$?" 
if [ "$status" = 0 ]; then 
log_success_msg "$name is running" 
return 0 
else 
log_failure_msg "$name is not running" 
return $status 
fi 


. /lib/lsb/init-functions 


case "$1" in 
start) 
echo -n "Starting $DESC: " 
start-stop-daemon --start --quiet --pidfile /var/run/$NAME. 


--exec $DAEMON -- $DAEMON_OPTS || true 
echo "$NAME." 


stop) 
echo -n "Stopping $DESC: " 


start-stop-daemon --stop --quiet --pidfile /var/run/$NAME.[ 
--exec $DAEMON || true 


echo "$NAME." 
2 
restart|force-reload) 
echo -n "Restarting $DESC: " 


start-stop-daemon --stop --quiet --pidfile \ 
/var/run/$NAME.pid --exec $DAEMON || true 
sleep 1 
start-stop-daemon --start --quiet --pidfile \ 


/var/run/$NAME.pid --exec $DAEMON -- $DAEMON OPTS || true 
echo "$NAME." 


vr 
reload) 
echo -n "Reloading $DESC configuration: " 


start-stop-daemon --stop --signal HUP --quiet --pidfile \ 
/var/run/$NAME.pid --exec $DAEMON || true 
echo "$NAME." 
7 7 
Status ) 
status of proc -p /var/run/$NAME.pid "$DAEMON" nginx \ 
&& exit 0 || exit $? 


rr 
* 


N=/etc/init .d/$NAME 


echo "Usage: $N {start|stop|restart|reload|forcereload | 
status}" &gt;&2 

exit 1 

rr 


esac 
exit 0 


| ——————————————— m! 7! 





7. 添加 如 下 代码 到 一 个 节点 : 


In 


rails::app ( "furiouspigs": 


sitedomain -&gt; "furiouspigs.com", 
} 


8. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1309960678' 


notice: /Stage[main]/Rails: :Passenger/File[/opt/nginx]/ensure: 
created 


notice: /Stage[main]/Rails: :Passenger/File[/opt/nginx/sitesenak 
ensure: created 


notice: /Stage[main]//Node[cookbook]/Rails::App[furiouspigs]/ 
File[/opt/nginx/sites-enabled/furiouspigs.conf]/ensure: createc 


notice: /Stage[main]/Rails: :Passenger/File[/opt/nginx/conf ]/ 
ensure: created 


notice: /Stage[main]/Rails: :Passenger/File[/opt/nginx/conf/ 
includes]/ensure: created 


notice: /Stage[main]//Node[cookbook]/Rails::App[furiouspigs]/ 
File[/opt/nginx/conf/includes/furiouspigs.conf]/ensure: definec 
content as '{md5}d41d8cd98f00b204e9800998ecf8427e' 


notice: /Stage[main]/Rails: :Passenger/File[/opt/nginx/sitesavai 
ensure: created 


notice: /Stage[main]//Node[cookbook]/Rails::App[furiouspigs]/ 
File[/opt/nginx/sites-available/furiouspigs.conf]/ensure: defir 
content as '(md53cia4c2bc4e7381b1c2f88dfee004a594' 


notice: /Stage[main]/Rails::Passenger/Exec[install-passenger]/ 
returns: executed successfully 


notice: /Stage[main]/Rails::Passenger/Exec[install-passengerngi 
module]/returns: executed successfully 

--- /opt/nginx/conf/nginx.conf 2011-07-06 14:04:33.231999538 
+0000 

+++ /tmp/puppet-file20110706-5343-k80uds-0 2011-07-06 
14:04:34.246867124 +0000 


info: /Stage[main]/Rails::Passenger/File[/opt/nginx/conf/nginx. 
conf]: Filebucketed /opt/nginx/conf/nginx.conf to puppet with s 
34d60856b6570e9d59cd6eecde5da000 


notice: /Stage[main]/Rails::Passenger/File[/opt/nginx/conf/ngir 
conf]/content: content changed '{md5}34d60856b6570e9d59cd6eecde 
da000' to '{md5}72132deeb45e6ee5b83cd246df fefc5F ' 

info: /Stage[main]/Rails::Passenger/File[/opt/nginx/conf/nginx. 
conf]: Scheduling refresh of Exec[reload-nginx] 

notice: /Stage[main]/Rails::Passenger/Exec[reload-nginx]: 


Triggered 'refresh' from 1 events 
notice: Finished catalog run in 398.73 seconds 


a] — g 








工作 原理 


这 个 处 方 比 本 书 中 其 他 的 处 方 更 长 、 更 复杂 ， 因 此 需要 更 详细 的 解释 。 pane 
这 有 些 烦 人 ， 尽 管 去 使 用 这 个 配方 吧 ， 不 必 担心 它 是 如 何 工 作 的 。 稍 后 当 你 想 学 习 
更 多 详细 工作 过 程 时 ， 可 以 再 回 过 头 来 看 这 些 解 释 。 


上 面 所 有 代码 的 目的 就 是 可 以 让 你 写 出 如 下 的 实例 化 代码 : 


rails::app { "furiouspigs": 
sitedomain => "furiouspigs.com", 
} 


这 需要 不 少 幕后 工作 。 我 们 需要 安装 配置 包含 Passenger 模块 的 Nginx， 配 置 应 
用 程序 的 虚拟 主机 ， 和 包括 所 有 应 用 程序 特定 的 配置 (比如 重 定向 以 及 其 他 服务 配 
置 ) > ZX Ruby 和 Rubygems， 安 装 Bundler， 并 创建 要 部 署 的 应 用 程序 所 需 的 
PRA Al & o 


Nginx 和 Passenger 


此 处 分 离 出 的 passenger.pp 文件 用 于 安装 Nginx fe Passenger 所 需 的 一 切 。 之 前 
曾经 提 到 过 ，Nginx 没有 像 一 样 的 动态 模块 概念 ， 因 此， 你 不 能 仅仅 通过 
安装 发 行 版 中 的 Nginx 并 安装 提供 Passenger 功能 的 软件 包 来 实现 。 Nginx 必须 
与 你 想 要 的 任何 模块 一 B o 


#45 > Phusion 社区 里 的 好 心 人 已 经 为 我 们 提供 了 一 个 编译 脚本 

(passengerinstall- -nginx- module) 。 一旦 你 已 经 安装 了 Passenger 的 gem & * 
这 个 脚本 就 会 帮 你 完成 编译 工作 。 所 以 首先 需要 做 的 事 就 是 安装 Passenger 的 
gem : 


Class rails::passenger { 

$passenger_version = "3.0.7" 

$passenger_dependencies = [ "build-essential", 
"libcurl4-openssl-dev", 
"libssl-dev", 
" ruby" ; 
"rubygems" ] 

package ( $passenger dependencies: ensure => installed } 


exec ( "install-passenger": 

command => "/usr/bin/gem install passenger 
--version=${passenger_version}", 

unless => "/usr/bin/gem list | /bin/grep passenger \ 
|/bin/grep ${passenger_version}", 

require => [ Package["rubygems"], Package[$passenger_ 

dependencies] ], 

timeout => "-1", 


我 们 把 要 安装 的 Passenger 版 本 号 设置 在 变 cE $passenger_version 中 > 因为 
Nginx 需要 知道 Passenger 的 安装 路 径 (路 径 中 包括 版 本 号 ) 。 所 以 我 们 会 在 
nginx.conf 模板 中 引用 $passenger_version 变量 。 


下 一 步 是 运行 passenger-install-nginx-module 脚本 : 


exec { "install-passenger-nginx-module": 
command => "/usr/lib/ruby/gems/1.8/gems/passenger -${passen¢ 
version)/bin/passenger-install-nginx-module --auto --autodownload 
--prefix=/opt/nginx", 


creates => "/opt/nginx/sbin/nginx", 
require => Exec["install-passenger"], 
timeout => "-1", 





你 应 该 注意 到 了 ， 此 处 gem 的 路 径 是 固定 的 /usr/lib/ruby/gems/1.8/gems » 这 
有 些 脆弱 ?一 ?在 大 部 分 生产 基础 设施 中 ， 我 使 用 RVM 管理 id 版 本 和 不 同 
版 本 的 gemsets ， 这 就 解决 了 由 于 使 用 固定 路 径 带 来 的 脆弱 性 。 Am 
RVM 会 使 本 处 方 变 得 难于 理解 ， 所 以 我 将 使 用 RVM 的 部 分 放 在 更 多 用 法 N 
节 中 。 一 旦 你 熟悉 了 这 个 处 方 ， 就 可 以 修改 它 ， 使 之 适合 你 自己 的 需求 ， 
整合 RVM 。 


这 也 就 意味 着 ， 如 果 你 使 用 Ruby 1.9， 这 个 处 方 不 会 工作 ， 当 本 书 出 版 后 你 读 到 此 
处 时 很 可 能 会 发 生 这 种 情 如 果 是 这 样 ， 或 者 你 遇 到 其 他 问题 ， 请 手工 运行 
gem contents passenger 命令 之 后 查找 passenger-installnginx-module 脚本 的 路 


o 


下 一 步 ， 我 们 创建 了 Nginx 配置 文件 所 需 的 目录 结构 : 


B 


file { p "/opt/nginx", 

"/opt/nginx/conf", 
"/opt/nginx/conf/includes", 
"/opt/nginx/sites-enabled", 
"/opt/nginx/sites-available", 
"/var/log/nginx" ]: 

ensure -» directory, 

owner => "www-data", 

group => "www-data", 


我 们 要 删除 默认 的 Nginx 虚拟 主机 配置 ， 否 则 可 能 会 干扰 我 们 要 创建 的 庶 拟 主机 。 
这 可 以 通过 如 下 代码 实现 : 


file { "/opt/nginx/sites-enabled/default": 
ensure => absent, 
require => Exec["install-passenger-nginx-module"], 


实际 上 ， 如 果 你 从 源 代码 构建 Nginx 或 是 通过 Passenger 构建 (本 例 中 的 方 
法 ) ， 这 是 不 需要 的 ， 但 是 如 果 要 想 使 本 处 方 也 适用 于 发 行 版 的 Nginx 软件 包 ， 这 
会 是 有 益 的 。 


下 面 是 Nginx 的 主 配 置 文件 : 
file { "/opt/nginx/conf/nginx.conf": 
content => template("rails/nginx.conf.erb"), 


notify => Exec["reload-nginx"], 
require => Exec["install-passenger-nginx-module"], 


主 配置 文件 使 用 nginx.conf.erb 模板 生成 ， 因 为 我 们 需要 插入 之 前 定义 的 
Passenger 版 本 号 : 


passenger root /usr/lib/ruby/gems/1.8/gems/passenger -<%= passenger. 
version %>; 


| 


否则 ， 它 就 是 一 个 标准 的 Nginx 配置 ， 你 也 可 以 在 模板 中 添加 任何 你 的 服务 器 所 需 
的 特殊 参数 。 


因为 我 们 没有 使 用 发 行 版 提供 的 软件 包 ， 所 以 我 们 需要 为 节点 应 用 一 个 init 脚本 
(改编 自 Ubuntu 版 本 ， 仅 做 了 轻微 的 修改 ) 
file { "/etc/init.d/nginx": 


source => "puppet:///modules/rails/nginx.init", 
mode => "700", 


require => Exec["install-passenger-nginx-module"], 


为 了 运行 Nginx 服务 需要 如 下 代码 : 


service { "nginx": 

enable => true, 

ensure => running, 

require => File["/etc/init.d/nginx"], 


j 
要 确保 错误 的 配置 不 会 使 服务 器 宕 机 ， 配 置 文件 的 改变 会 通知 如 下 的 “配置 检查 和 
重 载 ”资源 : 


exec { "reload-nginx": 


command => "/opt/nginx/sbin/nginx -t \ 
&& /etc/init.d/nginx reload", 
refreshonly => true, 


require => Exec["install-passenger-nginx-module"], 
j 


Rails 
你 已 经 设置 好 了 Passenger 和 Nginx， 接 下 来 配置 Rails 需求 的 类 : 


class rails { 
include rails: :passenger 


package { "bundler": 
provider => gem, 
ensure => installed, 


Bundler 是 一 个 管理 应 用 程序 序 或 解决 gem 依赖 关系 的 工具 。 你 可 以 使 用 手工 方式 
(或 通过 Puppet) 指定 要 安装 NAA gem 包 以 及 依赖 的 外 , 取代 这 种 方式 的 更 好 
办 法 是 使 用 Bundler 来 实现 ， 它 是 Rails 部 署 的 一 部 分 。 例如 ， 你 应 该 注意 到 了 ， 

Ms 没有 安装 rails 的 gem : 这 通常 是 通过 Bundler 安装 的 ， 或 者 在 应 用 程序 的 


vendor 目录 中 已 经 提供 了 一 份 特定 版 本 的 rails。 如 果 你 没有 使 用 Bundler， 或 者 
你 需要 为 你 的 受 置 一 些 额外 的 依赖 ， 请 在 这 个 类 中 使 用 Puppet 的 
package 资源 做 相应 的 配置 来 安装 它们 。 


rails 类 的 的 主要 部 分 是 define HH app， 对 于 你 要 管理 的 每 个 应 用 程序 ， 它 都 会 
被 实例 化 一 次 : 


define app( $sitedomain ) { 
include rails 


为 应 用 程序 做 的 第 一 件 事 是 安装 Nginx 虚拟 主机 配置 文件 ， 它 由 app.conf.erb 模板 
ZR 


file { "/opt/nginx/sites-available/${name}.conf": 
content => template("rails/app.conf.erb"), 
require => File["/opt/nginx/sites-available"], 


} 


file { "/opt/nginx/sites-enabled/${name}.conf": 
ensure => link, 
target => "/opt/nginx/sites-available/${name}.conf", 
require => File["/opt/nginx/sites-enabled"], 
notify => Exec["reload-nginx"], 


虚拟 主机 配置 文件 的 模板 相当 小 : 


server { 
listen 80; 
root /var/www/<%= name %>/current/public; 
server_name <%= sitedomain %>; 
access log /var/log/nginx/<%= name %>.access.10g; 
error log /var/log/nginx/<%= name %>.error.1log; 


passenger enabled on; 
passenger min instances 1; 


} 


passenger_pre_start http://<%= sitedomain %>; 


通常 一 个 应 用 程序 需要 特定 的 Nginx 配置 指令 ， 比 如 redirects ^. 你 可 以 在 Rails 模 
块 中 添加 一 个 名 为 files/furiouspigs. eu fe aoe 包含 这 些 配置 指令 。 Puppet 会 从 
如 下 的 这 段 代码 找到 这 个 文件 ， 并 分 发 给 节点 : 


file { "/opt/nginx/conf/includes/${name}.conf": 
source => [ "puppet:///modules/rails/${name}.conf", 
"puppet:///modules/rails/empty.conf" ], 
notify => Exec["reload-nginx"], 


注意 这 个 文件 使 用 了 多 个 源 ， 第 二 个 源 empty.conf 确保 Puppet 不 会 因为 应 用 程序 
指定 的 配置 文件 不 存在 而 抱怨 。 


最 后 我 们 要 确保 为 准备 部 署 的 标准 Rails 目录 结构 配置 www-data 用 户 属 主 及 适当 
的 权限 (775) 。 如 果 你 的 Nginx 以 及 部 署 的 应 用 程序 以 不 同 的 用 户 身份 执行 ， 请 
使 用 你 的 用 户 名 替换 所 有 的 www-data 。 


file { [ "/var/www", 

"/var/www/${name}", 
"/var/www/${name}/releases", 
"/var/www/${name}/shared", 
"/var /www/${name}/shared/config", 
"/var/www/${name}/shared/log", 
"/var/www/${name}/shared/system" ]: 

ensure => directory, 

mode => 775, 

Owner => "www-data", 

group => "www-data", 


更 多 用 法 
使 用 Puppet 管理 Rails 应 用 程序 ， 你 可 能 还 需要 考虑 一 些 其 他 的 事情 。 


RVM 


正如 我 之 前 所 提 到 的 ， 使 用 RVM 管理 多 版 本 Ruby 和 多 版 本 的 gemsets 是 一 种 强 
大 的 解决 方案 。 当然， 使 用 RVM 也 带 来 了 自身 的 有 趣 问 题 ?一 ?RVM 的 开发 活 
跃 ， 其 主体 经 常 变 化 。 无 论 如 何 ，RVM 为 我 们 带 来 的 好 处 还 是 比 其 带 来 的 麻烦 要 
多 的 多 。 所 以 ， 我 建议 你 对 生产 线 上 的 Rails 站 点 ， 或 许可 以 通过 类 似 这 样 的 代码 
应 用 RVM : 


class rails::rvm { 

package { [ "autoconf", 
"bison", 
WU 
"libreadline-dev", 
"subversion", 
"Zlibig-dev" ]: 

ensure => installed 


} 


file { "/usr/local/bin/rvm-install-system-wide": 


source => "puppet:///modules/rails/rvm-install-system-wide", 
mode => "700", 


} 


exec { "install-rvm": 
command => "/usr/local/bin/rvm-install-system-wide", 
creates => "/usr/local/bin/rvm", 
require => [ Package["cur1"], Package["subversion"], 
File["/usr/local/bin/rvm-install-system-wide"] | 
logoutput -» on failure, 


j 





append if no such line { "setup-rvm-shell-environment": 
file => "/etc/bash.bashrc", 
line => "[[ -s /usr/local/rvm/scripts/rvm ]] \ 
&& . /usr/local/rvm/scripts/rvm", 





rvm-install-system-wide 脚本 来 自 RVM 网 站 : 
https://rvm.beginrescueend.comi/install/rvm ° 


日 志 BR 动 


在 生产 环境 中 你 可 能 会 需要 为 Nginx 和 Rails 生成 的 日 志文 件 添 加 logrotate 配置 片 
Bo 以 确保 这 些 日 日 志 不 会 逐步 占 满 你 的 磁盘 。 因 为 篇 Tre PY. ， 本 
例 省 略 了 对 日 志 滚动 的 配置 。 


数据 库 


本 处 方 中 ， 未 对 Rails 应 用 程序 创建 任何 数据 库 及 访问 数据 库 的 用 户 ; 配置 何 种 数 
2 d m (MySQL ` Postgres ` MongoDB 


F) ， 你 需要 自行 添加 管理 数据 库 的 Puppet 代码 。 onc 
以 参考 创建 MySQL 数据 库 及 用 户 一 节 的 内 容 并 作 适 当 的 改写 


SSL 证 书 


一 些 应 用 程序 会 需要 SSL 证 书 并 为 vhost 配置 安全 的 URLs， 例 如 : 处 理 网 上 支 
付 。 这 已 超出 了 本 处 方 的 讲解 范围 ， 但 你 应 该 可 以 发 现 添加 所 需 的 代码 并 不 困难 。 
你 可 以 在 rails::app 嗓 数 的 定义 中 添加 一 个 可 选 参 数 ， 例 如 : 


define app( $sitedomain, $ssl = false ) { 


并 添加 如 下 代码 处 理 这 个 参数 : 


if $ssl { 
file { "/etc/ssl/certs/${name}.crt": 
source => "puppet:///modules/rails/${name}.crt", 
} 


} 


然后 ， 只 要 使 用 如 下 的 代码 对 你 的 应 用 程序 进行 实例 化 即 可 : 


rails::app { "irritatedbadgers": 
sitedomain => "irritatedbadgers.com", 
ssl => true, 


服务 器 和 云 基 础 设施 


Rest is not idleness, and to lie sometimes on the grass under trees on a 
summer's day, listening to the murmur of the water, or watching the clouds 
float across the sky, is by no means a waste of time. 


— J. Lubbock 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 
e 部 署 Nagios 监控 服务 器 
e 使 用 Heartbeat 构建 高 可 用 服务 
e. 管理 NFS 服务 和 文件 共享 
e 使 用 HAProxy 为 多 个 web 服务 器 实现 负载 均衡 
e 使 用 iptables 管理 防火 墙 
e 管理 Amazon 的 EC2 实例 
e 使 用 Vagrant 管理 虚拟 机 


Puppet ETAT 配置 单 台 服 务 器 还 可 以 控制 网 络 中 的 大 量 服 务 
器 ， 只 有 控制 大 量 服务 器 时 才 和 E Ke 
用 Puppet 帮助 你 监控 基础 设施 ， 创 建 高 可 用 性 集群 ， 跨 越 网 络 分 享 文件 ， 设 立 自 
动 的 防火 墙 ， 器 实 $m f 载 均衡 ， 以 及 在 云 中 或 桌面 上 创建 新 虚 


拟 机 。 


部 署 Nagios 监控 服务 器 
My roommate lost his pet elephant. It’s in the apartment somewhere. 


— Steven Wright 


我 们 无 法 持续 关注 所 有 的 一 切 。 问 题 是 : 你 怎么 知道 一 台 服 务 器 何 时 会 出 现 故障 
Je 错误 的 答案 是 ，" 我 的 客户 打 电 话 给 我 ， 告 诉 我 服务 器 宕 机 了 。” 但 是 ， 你 会 惊 
奇 地 发 现 ， 许 多 组 织 的 系统 没有 任何 的 自动 监控 。 自 动 监 控 的 设置 非常 简单 。 目前 
有 许多 优秀 的 免费 开源 的 自动 监测 工具 可 用 ， 包 括 Nagios ` Icinga ^ Zabbix 和 
Zenoss。 Nagios 是 其 中 历史 最 久 最 复杂 的 一 个 ， 尽 管 它 有 一 个 难以 配置 的 名 声 
(基本 上 是 实 至 名 归 的 ) o 


本 处 方 将 向 你 展示 如 何 使 用 Puppet 创建 一 个 基于 Nagios 的 监控 服务 器 以 及 如 何 
让 Puppet 配置 由 Nagios 监控 的 每 台 机 器 。 


准备 工作 


你 将 需要 我 们 已 经 在 第 7 章 的 管理 Apache 服务 一 节 中 创建 的 Apache 模块 。 


操作 步骤 


1. 创建 一 个 nagios 模块 : 


# mkdir /etc/puppet/modules/nagios 
# mkdir /etc/puppet/modules/nagios/files 
# mkdir /etc/puppet/modules/nagios/manifests 


2. 18 M to F A 41 /etc/puppet/modules/nagios/manifests/server.pp 文件 : 


class nagios::server { 
include apache 


package { [ "nagios3", 
"nagios-images", 
"nagios-nrpe-plugin" ]: 
ensure =&gt; installed, 


} 


service { "nagios3": 
ensure =&gt; running, 
enable =&gt; true, 
require -&gt; Package["nagios3"], 


j 


exec ( "nagios-config-check": 
command =&gt; "/usr/sbin/nagios3 -v /etc/nagios3/nagios 


cfg && /usr/sbin/service nagios3 restart", 
refreshonly =&gt; true, 
} 


file { "/etc/apache2/sites-available/nagios.conf": 
source =&gt; "puppet:///modules/nagios/nagios.conf", 
notify =&gt; Service["apache2"], 
require -&gt; Package["apache2-mpm-prefork"], 


} 


file { "/etc/apache2/sites-enabled/nagios.conf": 
ensure =&gt; symlink, 
target =&gt; "/etc/apache2/sites-available/nagios.conf 
require -&gt; Package["apache2-mpm-prefork"], 


j 


file { [ "/etc/nagios3/generic-service nagios2.cfg", 
"/etc/nagios3/services nagios2.cfg", 
"/etc/nagios3/hostgroups nagios2.cfg", 
"/etc/nagios3/extinfo nagios2.cfg", 
"/etc/nagios3/localhost nagios2.cfg", 
"/etc/nagios3/contacts nagios2.cfg", 
"/etc/nagios3/conf.d" 
ph: 
ensure -&gt; absent, 
force -&gt; true, 


} 


define nagios-config() { 
file { "/etc/nagios3/${name}": 
source =&gt; "puppet:///modules/nagios/${name}", 
require =&gt; Package["nagios3"], 
notify -&gt; Exec["nagios-config-check"], 


} 


nagios-config { [ "htpasswd.nagios", 
"nagios.cfg", 
Pegi erg. 
"hostgroups.cfg", 
"hosts.cfg", 
"host_templates.cfg", 
"service _templates.cfg", 
"services.cfg", 
"timeperiods.cfg", 
"contacts.cfg", 
"commands.cfg" ]: } 


file ( "/var/lib/nagios3": 
# see http://bugs.debian.org/cgi-bin/bugreport.cgi?bug- 
mode -&gt; 751, 
require -&gt; Package["nagios3"], 
notify =&gt; Service["nagios3"], 


} 


file { "/var/lib/nagios3/rw": 
# see http://bugs.debian.org/cgi-bin/bugreport.cgi?bug- 
mode =&gt; 2710, 
require =&gt; Package["nagios3"], 
notify =&gt; Service["nagios3"], 








3. 1£ M de T A 4) /etc/puppet/modules/nagios/files/nagios.cfg 文件 : 


# Config files to read 

cfg file-/etc/nagios3/commands.cfg 

cfg file-/etc/nagios3/service templates.cfg 
cfg file-/etc/nagios3/host templates.cfg 
cfg file-/etc/nagios3/timeperiods.cfg 

cfg file-/etc/nagios3/contacts.cfg 

cfg file-/etc/nagios3/hostgroups.cfg 

cfg file-/etc/nagios3/hosts.cfg 

cfg file-/etc/nagios3/services.cfg 


4 Nagios settings 

log file-/var/log/nagios3/nagios.log 
illegal macro output chars-' -$&|'"&lt;&gt; 
check result path-/var/lib/nagios3/spool/checkresults 
nagios user-nagios 

nagios group-nagios 

command file-/var/lib/nagios3/rw/nagios.cmd 
lock file-/var/run/nagios3/nagios3.pid 

pi file-/usr/lib/nagios3/p1.pl 

check external commands-1 

resource file-/etc/nagios3/resource.cfg 


4. 使 用 如 下 内 容 创 建 letc/puppet/modules/nagios/files/service templates.cfg < 
件 : 


define service{ 


name generic_service 

; The 'name' of this service template 
active_checks_enabled al 

; Active service checks are enabled 
passive_checks_enabled 1 

; Passive service checks are enabled/accepted 
parallelize_check 1 


; Active service checks should be parallelized 

; (disabling this can lead to major performance problems) 
obsess over service 1 

; We should obsess over this service (if necessary) 


check freshness 0 
; Default is to NOT check service 'freshness' 


notifications enabled dE 

; Service notifications are enabled 
event handler enabled 1 

; Service event handler is enabled 
flap detection enabled 1 


; Flap detection is enabled 
failure prediction enabled 1 
; Failure prediction is enabled 


process perf data 1 
; Process performance data 
retain status information 1 


; Retain status information across program restarts 
retain nonstatus information 1 


; Retain non-status information across program restarts 


notification interval 0 
; Only send notifications on status change by default. 
is volatile 0 
check_period 24x7 
normal_check_interval 5 
retry_check_interval 2 
max_check_attempts 3 
notification_period 24x7 
notification_options Car 
contact_groups sysadmin 
register 0 
; DONT REGISTER THIS DEFINITION 
; - ITS NOT A REAL SERVICE, JUST A TEMPLATE! 
J 
# Defaults 
define service { 
name every 5 mins 
normal check interval 5 
use generic service 
register 0 
} 
define service { 
name every_hour 
normal_check_interval 60 
use generic_service 
register 0 
} 
define service { 
name every_day 
normal_check_interval 1440 
use generic_service 
register 0 
} 
== =o 











4] = | 
5. 18 M to F A 41 /etc/puppet/modules/nagios/files/services.cfg 文件 : 





define service { 


hostgroup_name all 
service_description Disk 
check_command check nrpe!check all disks!209 
use every day 
} 
define service { 
hostgroup_name all 
service_description Load 
check_command check_nrpe! check_load!10,10,1€ 
use every_hour 
} 





6. 使 用 如 下 内 容 创建 /etc/puppet/modules/nagios/files/cgi.cfg 文件 : 


main_config_file=/etc/nagios3/nagios.cfg 
physical html path-/usr/share/nagios3/htdocs 
url html path-/nagios3 

show context help-1 

use pending states-1 

nagios check command-/usr/lib/nagios/plugins/check nagios 
/var/cache/nagios3/status.dat 5 '/usr/sbin/nagios3' 
use authentication-1 

use ssl authentication-0 

authorized for system information-nagios 
authorized for configuration information-nagios 
authorized for system commands-nagios 
authorized for all services-nagios 
authorized for all hosts-nagios 

authorized for all service commands-nagios 
authorized for all host commands-nagios 

default statusmap layout-5 

default statuswrl layout-4 

ping syntax-/bin/ping -n -U -c 5 $HOSTADDRESS$ 
refresh rate-90 

escape html tags-1 

action url target- blank 

notes url target- blank 

lock author names-1 





7. 使 用 如 下 内 容 创建 Jetc/puppet/modules/nagios/files/host templates.cfg X 
件 : 


define host{ 


name 

check_command 
max_check_attempts 
checks_enabled 

failure prediction enabled 
retain status information 
retain nonstatus information 
notification interval 
notification options 

check interval 

contact groups 

register 


generic host 
check-host-alive 


8. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/nagios/files/contacts.cfg 文件 (使 用 
你 自己 的 e-mail 地 址 ， 或 者 至 少 是 一 个 不 介意 从 你 的 监控 服务 获得 大 量 邮 件 的 
人 的 e-mail 地 址 ) 


define contact { 


} 


contact_name 

alias Helen 

service notification period 
host notification period 
service notification options 
host notification options 
service notification commands 
host notification commands 
email 


define contactgroup { 


contactgroup name 
alias 
members 


helen 

Highwater 

24X7 

24X7 

W,U,c,r 

d,r 
notify-service-by-email 
notify-host-by-email 
helen@example.com 


sysadmin 
Sysadmins 
helen 


9. 1£ M de T A 4) /etc/puppet/modules/nagios/files/hostgroups.cfg 文件 : 


define hostgroup { 


hostgroup_name 
alias 
members 


all 
All Servers 


* 


10. 1% M 40 F A RAE letc/puppet/modules/nagios/files/timeperiods.cfg 文件 : 


define timeperiod { 


timeperiod_name 24x7 

alias 24 Hours A Day, 7 Days A Week 
sunday 00:00-24:00 

monday 00:00-24:00 

tuesday 00:00-24:00 

wednesday 00:00-24:00 

thursday 00:00-24:00 

friday 00:00-24:00 

saturday 00:00-24:00 


11. 1% Mw F A 4) letc/puppet/modules/nagios/files/hosts.cfg 文件 (使 用 你 自 
己 的 服务 器 信息 替换 相应 的 配置 值 ) : 


define host { 


host_name cookbook 
address cookbook.bitfieldconsulting.com 
use generic_host 


12. 使 用 如 下 内 容 创 建 /etc/puppet/modules/nagios/files/commands.cfg 文件 : 


define command { 
command_name check_nrpe 
command line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ 
-a $ARG2$ $ARG3$ $ARG4$ $ARG5$ 


} 


define command{ 
command name  check-host-alive 
command line  $USER1$/check ping -H '$HOSTADDRESS$' -w 
5000,100% -c 5000,100% -p 1 

} 


define command{ 
command name check all disks 
command line  /usr/lib/nagios/plugins/check disk -w '$ARG1$' 
-C '$ARG2$' -e 
} 


define command{ 

command_name notify -host -by-email 

command line /usr/bin/printf "%b" "***** Nagios *****\n\ 
nNotification Type: $NOTIFICATIONTYPE$\nHost: $HOSTNAME$\ 
nState: $HOSTSTATE$\nAddress: $HOSTADDRESS$\nInfo: 
$HOSTOUTPUT$\n\nDate/Time: $LONGDATETIME$Nn" | /usr/bin/mai 
-s "** $NOTIFICATIONTYPES$ Host Alert: SHOSTNAME$ is 
$HOSTSTATE$ **" $CONTACTEMAIL$ 


j 


define command{ 

command name  notify-service-by-email 

command line  /usr/bin/printf "%b" "***** Nagios 
*****\n\nNotification Type: $NOTIFICATIONTYPE$\n\nService: 
$SERVICEDESC$\nHost: $HOSTALIAS$\nAddress: $SHOSTADDRESS$\ 
nState: $SERVICESTATE$NnNnDate/Time: $LONGDATETIME$\n\ 
nAdditional Info:\n\n$SERVICEOUTPUT$" | /usr/bin/mail -s "* 
$NOTIFICATIONTYPE$ Service Alert: $HOSTALIAS$/$SERVICEDESCi 
$SERVICESTATE$ **" $CONTACTEMAIL$ 





Jg 


13. 使 用 如 下 内 容 创 建 letc/puppet/modules/nagios/files/nagios.conf 文件 (用 你 
自己 的 服务 器 替换 ServerName 的 配置 值 ) 


ScriptAlias /cgi-bin/nagios3 /usr/lib/cgi-bin/nagios3 
ScriptAlias /nagios3/cgi-bin /usr/lib/cgi-bin/nagios3 


Alias /nagios3/stylesheets /etc/nagios3/stylesheets 
Alias /nagios3 /usr/share/nagios3/htdocs 
Alias / /usr/share/nagios3/htdocs/ 


&lt;DirectoryMatch (/usr/share/nagios3/htdocs|/usr/lib/cgi-bin/ 
nagios3|/etc/nagios3/stylesheets)&gt; 


Options FollowSymLinks 
DirectoryIndex index.html 
AllowOverride AuthConfig 


Order Allow, Deny 
Allow From All 


AuthName "Nagios Access" 

AuthType Basic 

AuthUserFile /etc/nagios3/htpasswd.nagios 

require valid-user 
&lt;/DirectoryMatch&gt; 


&lt;VirtualHost *:80&gt; 
ServerName nagios.bitfieldconsulting.com 
ErrorLog /var/log/apache2/nagios-error log 
CustomLog /var/log/apache2/nagios-access log common 
DocumentRoot /usr/share/nagios3 
&lt;/VirtualHost&gt; 


Rb NS 
14. 创建 口令 文件 控制 对 Nagios web 界面 的 访问 : 


# htpasswd -c /etc/puppet/modules/nagios/files/htpasswd.nagios 
nagios 
Password: (type password) 


[argum M ARE] 
15. 如 果 你 的 系统 中 还 没有 htpasswd 程序 ， 运 行 如 下 的 命令 : 


# apt-get install apache2-utils 


16. 在 前 面 的 代码 中 指定 的 ServerName 为 你 创建 一 个 /etc/hosts 条 目 或 DNS 72 
录 ， 本 例 中 的 主机 名 是 : 


nagios.bitfieldconsulting.com 


17. 在 你 的 Nagios 服务 器 的 节点 中 定义 中 包含 如 下 代码 : 


include nagios::server 


18. 使 用 如 下 内 容 创 建 Jetc/puppet/modules/nagios/files/nrpe.cfg 文件 (使 用 你 自 
己 的 监控 服务 器 的 主机 名 或 IP 地 址 蔡 换 allowed hosts 设置 值 ) : 


log_facility=daemon 

pid_file=/var/run/nagios/nrpe.pid 

server_port=5666 

nrpe_user=nagios 

nrpe_group=nagios 
allowed_hosts=cookbook.bitfieldconsulting.com 
dont_blame_nrpe=1 

debug=0 

command_timeout=60 

connection_timeout=300 

command[check load]-/usr/lib/nagios/plugins/check load -w $ARG1 
-C $ARG2$ 

command[check all disks]-/usr/lib/nagios/plugins/check disk -w 
$ARG1$ -c $ARG2$ -e -A -i '.gvfs' 


| 
19. 1% M 40 F A RAE /etc/puppet/modules/nagios/manifests/target.pp 文件 : 


class nagios::target { 
package { [ "nagios-nrpe-server", 
"nagios-plugins", 
"nagios-plugins-basic", 
"nagios-plugins-standard", 
"nagios-plugins-extra" ]: 
ensure =&gt; installed, 


} 


service { "nagios-nrpe-server": 
enable -&gt; true, 
ensure =&gt; running, 
pattern -&gt; "/usr/sbin/nrpe", 
require -&gt; Package["nagios-nrpe-server"], 


j 


file ( "/etc/nagios/nrpe.cfg": 
source =&gt; "puppet:///modules/nagios/nrpe.cfg", 
require -&gt; Package["nagios-nrpe-server"], 
notify -&gt; Service["nagios-nrpe-server"], 


20. 在 你 要 监控 的 所 有 节点 (也 应 该 包括 Nagios 服务 器 自己 ) 上 包含 这 个 类 : 
include nagios::target 
21. 在 Nagios 服务 器 上 运行 如 下 Puppet 命令 : 


# puppet agent --test 


22. 使 用 浏览 器 打开 Nagios 的 web 界面 (使 用 用 户 名 nagios 和 你 在 前 面 的 代码 
中 设置 的 口令 登录 ) 检查 你 看 到 的 Nagios 欢迎 界面 ， 如 图 所 示 : 


Nagios - Mozilla Firefox 


File Edit View History Bookmarks Tools Help 
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23. Ac Host detail 菜单 ， 在 界面 中 你 应 该 看 到 目标 节点 的 列表 。 


24. 点 击 节点 的 名 字 ， 之 后 从 Host commands 菜单 中 选择 "Schedule a check of 
all services on this host" ° 


25. Æ "Force check" 复 选 框 上 打 勾 将 其 选中 并 单 击 "Commit"。 这 会 花 几 秒 钟 运 
行 Nagios 的 检查 。 点 击 "Service detail" 菜单 ， 在 界面 中 你 应 该 看 到 显示 为 绿 
色 的 服务 列表 ， 如 图 所 示 : 


Mozilla Firefox 
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Notifications 


工作 原理 


尽管 这 个 处 方 相当 的 长 ， 但 是 Puppet 的 配置 
其 他 处 方 中 还 没 使 用 过 的 配置 技巧 。 


本 质 上 ， 我 们 所 做 的 就 是 安装 Nagios 包 ， 配 置 服务 于 它 的 Apache 虚拟 主机 ， 为 
Nagios 部 署 一 系列 的 配置 文件 ， 这 些 配置 文件 用 于 告诉 Nagios 要 检查 哪些 主机 、 
检查 哪些 服务 以 及 其 他 一 些 杂 七 杂 八 的 配置 。 


清单 本 身 却 很 简单 ; 这 里 没有 我 们 在 


点 上 都 需要 安装 n nagios- nrpe-server 包 


在 客户 端 ， 由 Nagios 监控 的 每 个 节 ， 
命令 的 协议 ) 以 及 告诉 NRPE 


(NRPE 是 使 Nagios f 在 远程 服务 器 上 安全 地 执行 命 
服务 允许 执行 哪些 命令 的 配置 文件 。 


局 


你 应 该 知道 ，nrpe.cfg 文件 中 的 dont blame nrpe 设置 是 一 个 潜在 的 安全 漏 
洞 ， 因 为 它 允 许 在 远程 主机 上 使 用 用 户 提供 的 参数 去 执行 命令 。 这 是 一 个 非 
常 有 用 的 功能 ， 因 为 这 意味 着 你 可 以 在 无 需 重新 配置 每 一 个 监控 机 的 情况 下 ， 
就 可 以 改变 警报 阅 值 或 其 他 参数 。 然 而， 如 果 你 不 需要 这 个 功能 ， 茜 
dont_blame_nrpe 设置 会 更 安全 。 


更 多 用 法 


使 用 Nagios 最 为 坏 手 的 事情 ， 就 是 获取 、 配 置 及 首次 执行 。 虽然 这 里 介绍 的 是 非 
常 基本 的 监控 配置 ( 仅 包 括 对 磁盘 占用 和 CPU 负载 的 检查 ) ， 你 可 以 使 用 这 个 配 
置 作为 Nagios 设置 工作 的 起 点 ， 添 加 更 多 要 检查 的 服务 和 主机 。 你 可 能 想 要 添加 
如 下 的 一 些 配置 : 


e 主机 组 (例如 ，Web 服务 器 组 或 数据 库 服 务 器 组 ) : 你 可 以 配置 一 个 检查 自动 
应 用 到 主机 组 的 每 个 成 员 。 


e Web 站 点 检查 : 配置 Nagios 的 check http plugin 插件 是 相当 复杂 的 ， 它 可 
以 处 理 重 定向 、SSL、 认 证 以 及 在 一 个 Web 页 面 中 匹配 文本 。 


e 进程 检查 : 监视 一 个 主机 上 指定 的 进程 是 一 个 常见 的 需求 。 使 用 check procs 
插件 可 以 实现 。 


e 不 同 的 检查 频率 : 我 已 经 在 service templates.cfg 模板 中 定义 了 
every hour^ every day 和 every 5 mins ; 你 可 能 想 要 添加 一 些 新 的 频率 设 
d 


e 新 的 时 间 周 期 ; 在 timeperiods.cfg 中 ， 当 前 仅 定 义 了 一 个 时 间 周 期 24x7， 但 
你 可 能 想 要 创建 自己 的 时 间 周 期 。 例 如 ， 如 果 要 从 午夜 0 点 到 凌晨 1 点 执行 数 
据 库 的 维护 工作 ， 你 可 以 定义 一 个 排除 了 这 段 时 间 的 时 间 周 期 ， 而 不 会 获得 来 
自 这 个 数据 库 服务 器 的 误 报 。 


要 找到 如 何 配置 Nagios 的 更 多 内 容 , 请 参考 文档 : 
http://nagios.sourceforge.net/docs/nagioscore/3/en/toc.html ° 


在 Puppet 中 也 有 一 些 对 Nagios 内 置 支持 ; 你 可 以 让 Puppet 从 配置 清单 生成 主机 
和 服务 的 定义 ， 这 是 一 个 强大 而 有 用 的 功能 。 尽 管 我 在 一 些 生产 站 点 上 会 使 用 这 个 
功能 ， 但 基于 篇 幅 的 原因 ， 我 不 得 不 遗憾 地 排除 了 对 它 的 介绍 。 若 你 希望 找到 与 这 
部 分 的 相关 的 内 容 ， 请 参考 Puppet 的 官方 文档 以 及 Mike Gurski 撰写 的 有 关 这 个 
主题 的 优秀 文章 : http://blog.gurski.org/index.php/2010/01/28/automatic- 
monitoring-with-puppet-and-nagios/ ° 


使 用 Heartbeat 构建 高 可 用 服务 


Even in the future, nothing works! 


— Spaceballs 


—WRFARS RARE o HT ARS Be 48 M i 一 个 主机 或 网 络 线路 失效 时 仍旧 外 Es 
提供 服务 。 mp ES) X GRJRCRGURÓOGA C AM? GARDE ALIRLIVASX S 
硬件 设备 而 著称 的 。 

虽然 最 终 肯 定 会 有 单独 的 一 台 服 务 器 失效 ， 但 是 两 台 服 务 器 同时 失效 的 概率 是 不 太 
高 的 ， 这 对 大 多 数 的 应 用 程序 提供 了 一 个 良好 的 宛 余 水 平 。 

最 简单 的 方法 之 一 是 建立 一 对 宛 余 服务 器 ， 它 们 共享 一 个 IP 地址， 并 使 用 心跳 检 
测 。 心跳 (Heartbeat) 是 一 个 守护 进程 ， 它 同 时 运行 在 两 台 机 器 上 并 且 定 期 彼此 
交换 信息 (heartbeats) » 其 中 的 一 台 是 主 服务 器 ， 通 常 它 拥有 资源 : 在 本 例 中 是 
ah IP Hak > be RWS SEEN ERAS SAMA URES >) CERE 地 址 以 
确保 服务 的 连续 性 。 


在 下 面 的 处 方 中 ， 我 们 将 使 用 Puppet 的 配置 设置 两 台 机 器 ， 并 解释 如 何 使 用 它 提 
供 一 个 高 可 用 服务 。 


操作 步骤 
1. 创建 如 下 的 heartbeat 模块 : 


# mkdir /etc/puppet/modules/heartbeat 
# mkdir /etc/puppet/modules/heartbeat/manifests 
# mkdir /etc/puppet/modules/heartbeat/files 


2. 12 A to F A 841 /etc/puppet/modules/heartbeat/manifests/init.pp 文件 : 


class heartbeat { 
package { "heartbeat": 
ensure =&gt; installed, 


} 


service { "heartbeat": 

ensure =&gt; running, 

require -&gt; Package["heartbeat"], 
j 


exec ( "reload-heartbeat": 
command -&gt; "/usr/sbin/service heartbeat reload", 
refreshonly -&gt; true, 


j 


file { "/etc/ha.d/authkeys": 
source =&gt; "puppet:///modules/heartbeat/authkeys", 
mode -&gt; "600", 
require -&gt; Package["heartbeat"], 
notify -&gt; Exec["reload-heartbeat"], 
} 


file { "/etc/ha.d/haresources" : 
source =&gt; "puppet:///modules/heartbeat/haresources", 
notify =&gt; Exec["reload-heartbeat"], 
require -&gt; Package["heartbeat"], 


j 


file ( "/etc/ha.d/ha.cf": 
source =&gt; "puppet:///modules/heartbeat/ha.cf", 
notify -&gt; Exec["reload-heartbeat"], 
require -&gt; Package["heartbeat"], 
j 
j 


3. 使 用 如 下 内 容 创建 Jetc/puppet/modules/heartbeat/files/haresources x fF » 将 
cookbook 替换 成 你 的 主 服务 器 的 主机 名 。 这 可 以 通过 在 主 服 务 器 上 运行 
uname -n 命令 获得 。 将 10.0.2.100 替换 成 你 要 在 两 台 主 机 上 共享 的 IP 地 址 

(这 应 该 是 当前 网 络 上 还 未 使 用 的 地 址 ) 。 最 后 列 出 的 接口 是 分 配给 心跳 检测 
的 (本 例 中 是 eth0:1) ° 


cookbook IPaddr::10.0.2.100/24/eth0:1 


4. 使 用 如 下 内 容 创 建 /etc/puppet/modules/heartbeat/files/authkeys 文件 (使 用 
你 自己 选择 的 口令 替换 topsecretpassword ) 


auth 1 
1 shai topsecretpassword 


5. 18 A to F A 41 /etc/puppet/modules/heartbeat/files/ha.cf 文件 。 替换 下 面 
的 两 个 IP 地 址 为 你 自己 的 两 台 机 器 上 eth0 接口 对 应 的 IP 地 址 。 同样 需 替换 
cookbook 和 cookbook2 为 你 自己 的 两 人 台 机 器 的 主机 名 (可 以 通过 运行 uname 


-n 


«| 


命令 获得 ) 。 


autojoin none 

ucast ethO 10.0.2.15 
ucast ethO 10.0.2.16 
keepalive 1 

deadtime 10 

warntime 5 

udpport 694 

auto failback on 
node cookbook 

node cookbook2 

use logd yes 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1311440876' 


notice: /Stage[main]/Heartbeat/Package[heartbeat]/ensure: creat 
notice: /Stage[main]/Heartbeat/File[/etc/ha.d/authkeys]/ensure: 
defined content as '{md5}e908c869aabe519aa69acc9e51da3399' 


info: /Stage[main]/Heartbeat/File[/etc/ha.d/authkeys]: Scheduli 
refresh of Exec[reload-heartbeat] 


notice: /Stage[main]/Heartbeat/File[/etc/ha.d/ha.cf]/ensure: 
defined content as '(md5ja8d3fdd62a1172cdff150fc1d86d8a6b' 


info: /Stage[main]/Heartbeat/File[/etc/ha.d/ha.cf]: Scheduling 
refresh of Exec[reload-heartbeat] 


notice: /Stage[main]/Heartbeat/File[/etc/ha.d/haresources]/enst 
defined content as '(md5j0f25aefe7f6c4c8e81b3bb6c86a42d60' 


info: /Stage[main]/Heartbeat/File[/etc/ha.d/haresources]: 
Scheduling refresh of Exec[reload-heartbeat] 


notice: /Stage[main]/Heartbeat/Exec[reload-heartbeat]: Triggere 
'refresh' from 3 events 


notice: Finished catalog run in 27.01 seconds 











T. 在 主 服务 器 节点 上 ， 检 查 它 的 资源 : 


# cl status rscstatus -m 
This node is holding all resources. 


8. 在 辅助 服务 器 节点 上 ， 你 应 该 可 以 看 到 如 下 信息 : 


# cl_status rscstatus -m 
This node is holding none resources. 


9. 在 主 节点 上 禁用 Heartbeat 服务 : 


# service heartbeat stop 


10. 辅助 节点 现在 应 该 接管 了 资源 : 


# cl status rscstatus -m 
This node is holding all resources. 


工作 原理 


两 台 服 务 器 上 都 运行 了 心跳 守护 进程 ， 彼 此 监听 心跳 信号 。 如 果 主 服务 器 检 en]a] A 
助 服务 器 已 宕 机 ， 什 么 也 不 会 发 生 。 而 相反 地 ， 如 果 辅 助 服 务 器 检测 到 主 服务 器 已 
宕 机 ， 它 就 接管 IP 地 址 。 当主 服务 器 恢复 运行 后 ， 辅 助 服务 器 器 将 再 次 放弃 此 地 
让 ， 重 新 由 主 服务 器 接管 |P 地 址 《如 果 auto failback 设置 成 了 on) 。 。 在 某 些 情 
况 下 ， 例如 : 如 果 你 在 主 数据 库 服务 器 和 从 数据 库 服务 器 之 间 共 享 |P 地 址 ， 你 可 
能 不 希望 这 种 行为 发 生 ， 在 这 种 情况 下 应 该 将 auto failback 设置 成 了 off ^ 


更 多 用 法 


现在 你 有 一 个 共享 的 IP 地 址 ( 申 是 名 不 副 实 ， 因 为 这 个 地 址 不 是 “共享 "的 ， 而 是 在 
两 个 服务 器 之 间 切 换 ) ， 你 可 以 用 这 个 地 址 来 提供 高 可 用 性 的 服务 。 例 如 ， 如 果 服 
务 器 是 被 托管 的 web 站 上 点， 你 应 该 为 Web 站 点 设置 DNS 记录 指向 这 个 共享 的 IP 
地 址 。 当主 服务 器 宕 机 时 ， 辅 助 服务 器 将 接管 P 地 址 并 继续 响应 基于 此 地 址 的 
HTTP 请 求 。 


如 果 你 正在 使 用 SSL 站 he ， 你 需要 配置 基于 共享 IP 地 址 的 SSL 虚拟 主机 ， 
否则 将 不 能 响应 基于 这 个 IP 的 HTTPs 请 求 。 


另外 ， 如 果 这 个 web 站 点 使 用 了 sessions， 主 服务 器 上 的 任何 sessions 在 故障 转 
移 后 将 会 丢失 ， 除非 sessions 存储 在 一 个 分 离 的 共享 数据 库 中 。 
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共享 IP 地 址 也 是 实现 双 路 宛 余 负载 均衡 器 的 一 种 好 方式 (参考 使 用 HAProxy 为 
多 个 web 服务 器 实现 负载 均衡 一 节 ) 。 你 也 可 以 使 用 这 种 方式 为 Puppetmaster 
主机 提供 宛 余 服务 。 在 Puppet Labs 站 点 给 出 了 一 个 合适 的 模式 : 
http://projects.puppetlabs.com/projects/1/wiki/High_Availability Patterns ° 


管理 NFS 服务 和 文件 共享 


There are three kinds of death in this world. There’s heart death, there’s brain 
death, and there’s being off the network. 


— Guy Almes 


网 络 文件 系统 (Network File System > NFS) 是 一 种 从 远程 服务 器 挂 装 共享 目录 
的 方法 。 例如 : 一 批 web 服务 器 可 以 挂 装 同一 个 NFS 共享 为 客户 供应 静态 资产 文 
件 ， 比 如 图 片 文 件 和 CSS 文件 。 KE NFS 是 一 种 比较 日 的 技术 ， 但 它 仍 被 广泛 
使 用 着 ， 所 以 本 处 方 将 向 你 展示 如 何 创建 一 个 NFS 服务 器 以 及 如 何 通过 它 来 共享 
文件 。 


操作 步骤 
1. 创建 一 个 nfs 模块 : 


# mkdir /etc/puppet/modules/nfs 
# mkdir /etc/puppet/modules/nfs/manifests 


2. 使 用 如 下 内 容 创 建 /etc/puppet/modules/nfs/manifests/init.pp 文件 : 


class nfs { 
package { "nfs-kernel-server": ensure =&gt; installed } 


service { "nfs-kernel-server": 


ensure =&gt; running, 

enable =&gt; true, 

hasrestart =&gt; true, 

require -&gt; Package["nfs-kernel-server"], 


j 


file ( "/etc/exports.d": 
ensure -&gt; directory, 


} 
exec { "update-etc-exports": 
command =&gt; "/bin/cat /etc/exports.d/* &gt;/etc/e 
notify -&gt; Service["nfs-kernel-server"], 
refreshonly -&gt; true, 
} 
define share( $path, $allowed, $options = "" ) { 
include nfs 
file { $path: 
ensure =&gt; directory, 
} 
file { "/etc/exports.d/${name}": 
content -&gt; "$(path) ${allowed}(${options})\n", 
notify =&gt; Exec["update-etc-exports"], 
} 
n 





3. 在 你 需要 输出 NFS 共享 的 节点 上 添加 如 下 代码 (修改 IP 地址 范围 以 适应 你 的 
网 络 ) 


nfs::share { "data": 
path =&gt; "/data", 
allowed =&gt; "10.0.2.0/24", 
options =&gt; "rw,sync,no_root_squash", 


} 
nfs::share { "data2": 
path =&gt; "/data2", 
allowed =&gt; "10.0.2.0/24", 
options =&gt; "rw,sync,no_root_squash", 
} 
4. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1311526219' 

notice: /Stage[main]/Nfs/Package[nfs-kernel-server]/ensure: 


created 
notice: /Stage[main]/Nfs/Service[nfs-kernel-server]/ensure: ens 
changed 'stopped' to 'running' 


notice: /Stage[main]//Node[cookbook]/Nfs: :Share[data2]/File[/ 
data2]/ensure: created 


notice: /Stage[main]//Node[cookbook]/Nfs: :Share[data2]/File[/et 
exports.d/data]/ensure: defined content as '(md5)408f8b40815ff4 
ec2f324ca7eafc4' 


info: /Stage[main]//Node[cookbook]/Nfs::Share[data]/File[/etc/ 
exports.d/data]: Scheduling refresh of Exec[update-etc-exports] 


notice: /Stage[main]//Node[cookbook]/Nfs: :Share[data2]/ 
File[/etc/exports.d/data2]/ensure: defined content as '{md5} 
ec2f324ca7eafc4408f8b40815ffA4b6e' 


info: /Stage[main]//Node[cookbook]/Nfs::Share[data2]/File[/etc/ 
exports.d/data2]: Scheduling refresh of Exec[update-etc-exports 


notice: /Stage[main]/Nfs/Exec[update-etc-exports]: Triggered 
'refresh' from 2 events 


info: /Stage[main]/Nfs/Exec[update-etc-exports]: Scheduling 
refresh of Service[nfs-kernel-server] 


notice: /Stage[main]/Nfs/Service[nfs-kernel-server]/ensure: ens 
changed 'stopped' to 'running' 


notice: /Stage[main]/Nfs/Service[nfs-kernel-server]: Triggered 
'refresh' from 1 events 


notice: Finished catalog run in 3.13 seconds 
a ——————————————ÉÁ'(( —Ó—— Óg( 
5. 通过 在 另 一 个 服务 器 上 挂 装 共享 测试 NFS 的 输出 配置 : 





# mkdir /mnt/data 
# mount cookbook:/data /mnt/data 
# ls /mnt/data 


工作 原理 


nfs 类 用 于 安装 并 启动 nfs-kernel-server 服务 ， 此 服务 监听 网 络 文件 共享 的 连接 。 
还 定义 了 一 个 nfs::share 资源 ， 你 可 以 在 配置 清单 中 的 任何 位 置 使 用 它 输 出 一 个 
NFS 目录 : 


nfs::share { "data": 
path => "/data", 
allowed => "10.0.2.0/24", 
options => "rw,sync,no_root_squash", 


此 资源 的 名 字 是 任何 你 想 要 给 出 的 一 个 标签 : 本 例 中 为 data » path 用 于 指定 要 共 
享 的 目录 。 allowed 参数 可 以 使 用 一 个 CIDR 网 络 地 址 ( 正 向 本 例 中 的 
10.0.2.0/24) 、 一 个 IP 地 址 、 一 个 主机 名 或 一 个 用 空格 间隔 的 IP 地 址 或 主机 名 列 
Re NFS 服务 器 仅 允许 由 指定 的 主机 远程 挂 装 此 资源 。 


options 参数 用 于 指定 NFS 的 挂 装 选项 (这 些 和 参数 将 出 现在 /etc/exports 文件 中 ， 
可 使 用 命令 man exports 查看 这 些 选 项 的 精确 细节 ) o 


请 注意 ， 我 们 使 用 了 与 rsyncd.conf 例子 相同 的 片断 模式 。nfs::share 的 任何 一 个 
实例 都 会 创建 /etc/exports.d 目录 下 的 一 个 配置 文件 片段 ， 这 会 触发 一 个 exec 资 
源 将 所 有 的 配置 文件 片段 囊 连 成 一 个 /etc/exports 配置 文件 并 通知 NFS 服务 应 用 配 
置 的 改变 。 


更 多 用 法 


NFS 共享 只 能 应 用 于 应 用 程序 的 非 关键 性 数据 ， 因 为 NFS 服务 器 会 造成 单 点 故 
障 。 你 可 以 使 用 集群 文件 系统 解决 关键 性 数据 的 共享 ， 应 该 考虑 使 用 GlusterFS # 
代 NFS。 


使 用 HAProxy 为 多 个 web 服务 器 实现 负载 均衡 
The inside of a computer is as dumb as hell but it goes like mad! 


— Richard Feynman 


曾几何时 ， 为 缓慢 的 Web 服务 器 加 速 的 方式 就 是 增加 更 多 的 CPU 核心 。 我 记得 
一 个 老板 买 了 一 台 24 核 的 Sun 工作 站 ， 它 是 个 尺寸 接近 悍马 的 怪物 ， 以 至 于 我 们 
不 得 不 扩 修 数 据 中 心 的 大 门 才 能 将 其 放 入 。 


时 至 今日 ， 扩 展 Web 站 点 规模 仍 晶 是 添加 CPU 核心 的 问题 ， 但 与 从 前 不 同 的 是 : 
要 么 他 们 自己 拿 来 若干 粉色 的 PC 机 作为 服务 器 使 用 ; 要 么 从 云 服 务 提供 商 那 里 租 
用 服务 器 作为 计算 资源 使 用 。 为 了 对 所 有 这 些 核 心 进行 分 组 ， 从 而 一 起 服务 于 单一 
的 Web 站 上 点， 我们 要 使 用 负载 均衡 器 (load balancer) ° 

曾经 ， 负 载 均 衡器 是 坐落 在 机 架 上 的 一 个 耗资 八 万 美元 的 大 盒子 。 尽管 你 现在 仍旧 
可 以 购买 这 种 负载 均衡 器 ， 但 对 于 大 多 数组 织 来 说 ， 使 用 Linux 商品 服务 器 的 软件 
负载 均衡 解决 方案 可 以 大 大 削减 成 本 。 

对 大 多 数 管理 员 来 说 ，HAProxy 是 软件 负载 均衡 器 的 一 种 选择 RR AA S S 
度 可 配置 。 在 下 面 的 处 方 中 ， 将 向 你 展示 如 何 创建 一 个 HAProxy 服务 器 为 两 个 现 
有 的 后 端 服务 器 实现 对 其 web 请 求 的 负载 均衡 。 


1. 创建 loadbalancer 模块 : 


# mkdir /etc/puppet/modules/loadbalancer 
# mkdir /etc/puppet/modules/loadbalancer/manifests 
# mkdir /etc/puppet/modules/loadbalancer/files 


2. 18 M to F A R41 /etc/puppet/modules/loadbalancer/manifests/init.pp 文件 : 


Class loadbalancer { 
package { "haproxy": ensure =&gt; installed } 


file { "/etc/default/haproxy": 
source =&gt; "puppet:///modules/loadbalancer/haproxy.defat 
require =&gt; Package["haproxy"], 


} 


service { "haproxy": 
ensure =&gt; running, 
enable -&gt; true, 
require -&gt; Package["haproxy"], 


j 


file { "/etc/haproxy/haproxy.cfg": 
source =&gt; "puppet:///modules/loadbalancer/haproxy.cfg", 
require =&gt; Package["haproxy"], 
notify -&gt; Service["haproxy"], 





. 使 用 如 下 内 容 创建 Jetc/puppet/modules/loadbalancer/files/haproxy.defaults 3c 
件 : 


# Don't edit this file - it's managed by Puppet 

# Set ENABLED to 1 if you want the init script to start haproxy 
ENABLED=1 

# Add extra flags here. 

#EXTRAOPTS="-de -m 16" 


LENS l1 
. 使 用 如 下 内 容 创 建 letc/puppet/modules/loadbalancer/files/haproxy.cfg 文件 。 


在 myapp 部 分 中 ， 用 你 的 后 端 服务 器 IP. 地 址 替换 每 个 server 行 中 的 IP 地 
址 ， 并 用 你 的 后 端 服务 器 监听 端口 替换 端口 :8000。 


global 
daemon 
user haproxy 
group haproxy 
pidfile /var/run/haproxy.pid 


defaults 
log global 
stats enable 
mode http 
option httplog 
option dontlognull 
option dontlog-normal 
retries 3 
option redispatch 


contimeout 4000 
clitimeout 60000 
srvtimeout 30000 


listen stats :8080 
mode http 
stats uri / 
stats auth haproxy:topsecret 


listen myapp 0.0.0.0:80 
balance leastconn 
server myappi 10.0.2.30:8000 check maxconn 100 
server myapp2 10.0.2.40:8000 check maxconn 100 


5. 在 你 的 HAProxy 节点 中 包含 如 下 代码 : 


include loadbalancer 


6. 运行 Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1311616315' 


notice: /Stage[main]/Loadbalancer/Package[haproxy]/ensure: enst 
changed 'purged' to 'present' 


--- /etc/haproxy/haproxy.cfg 2009-11-06 17:59:44.000000000 
-0000 


+++ /tmp/puppet-file20110725-16369-1b85cr8-0 2011-07-25 
18:09:03.749146699 +0000 


@@ -1,86 +1,28 @@ 
-# this config needs haproxy-1.1.28 or haproxy-1.2.1 


info: /Stage[main]/Loadbalancer/File[/etc/haproxy/haproxy. 
cfg]: Filebucketed /etc/haproxy/haproxy.cfg to puppet with sum 
c3bfb0c86138552475dea458e8ab36f3 


notice: /Stage[main]/Loadbalancer/File[/etc/haproxy/haproxy.cfc 
content: content changed '(md5j)c3bfb0c86138552475dea458e8ab36f: 
to '(md5)fab5facacf31fo43f0120dOd4A5cef3f54' 


info: /Stage[main]/Loadbalancer/File[/etc/haproxy/haproxy.cfg]: 
Scheduling refresh of Service[haproxy] 


notice: /Stage[main]/Loadbalancer/Service[haproxy]/ensure: enst 
changed 'stopped' to 'running' 


notice: /Stage[main]/Loadbalancer/Service[haproxy]: Triggered 
'refresh' from 1 events 


--- /etc/default/haproxy 2009-11-06 17:59:21.000000000 +0000 


+++ /tmp/puppet-file20110725-16369-1ndfrti-0 2011-07-25 
18:09:05.749136866 +0000 
QQ -1,4 +1,5 @@ 


# Set ENABLED to 1 if you want the init script to start haprox 
- ENABLED=0 

+ENABLED=1 

# Add extra flags here. 

#EXTRAOPTS="-de -m 16" 

+ 


notice: /Stage[main]/Loadbalancer/File[/etc/default/haproxy]/ 
content: content changed '(md5jai1f2deb7c7a10e55dc7c971a2288f5d4 
to '(md5)2217d74d66bd72630268598b1f11f173' 


notice: Finished catalog run in 22.21 seconds 
e 
7. 在 你 的 浏览 器 中 检查 HAProxy 的 stats 界面 确保 一 切 工作 正常 (注意 我 的 


Backend 服务 器 显示 的 是 DOWN ， 因 为 这 些 虚 拟 机 还 没有 运行 。 当 我 启动 它 
们 之 后 ，HAProxy 将 会 自动 检测 并 重新 标记 它们 的 状态 ) 。 





®@@ Statistics Report for HAProxy - Mozilla Firefox 


File Edit View History Bookmarks Tools Help 


- "e Á | 回 | http://cookbook:8080/ v| [$8 v | Googl 区 


[6] Statistics Report for HAProxy oP v 
HAProxy version 1.3.22, released 2009/10/14 
Statistics Report for pid 16240 


> General process information 























pid = 16240 (process #1, nbproc = 1) active UP backup UP Display option: External ressources: 
uptime =0d 0h00m45s active UP, going down backup UP, going down * Hide DOWN servers * Primary site 
system limits: memmax - unlimited; ulimit-n = 4014 li i € Refresh now * Updates (v1.3) 
maxsock = 4014; maxconn = 2000; maxpipes = 0 active DOWN, going up | |backup DOWN, going up © CSV export 9 One unus 
current conns = 1; current pipes = 0/0 active or backup DOWN not checked RE M 





Running tasks: 1/3 Note: UP with load-balancing disabled is reported as "NOLB". 




















工作 原理 


haproxy 守护 进程 监听 进入 的 请 求 并 将 其 分 发 到 一 组 后 端 服务 器 (本 例 中 是 
myapp1 和 myapp2) 。 如 果 一 个 后 端 服务 器 已 超载 ，HAProxy 将 避免 向 其 发 送 
更 多 的 流量 直至 它 恢复 。 这 有 助 于 防止 单 台 Web 服务 器 因为 超载 (排队 等 待 的 不 
能 被 处 理 的 请 求 越 来 越 多 ) 而 造成 的 响应 速度 大 幅 放 缓 。 如 果 一 台 后 端 服务 器 宕 
机 ，HAProxy 将 不 会 为 其 分 发 任何 请 求 ， 直 至 其 重新 可 用 。 


stats 界面 会 显示 : 你 的 后 端 服务 器 如 何 执行 ， 有 多 少 会 话 正 在 处 理 ，HAProxy 是 
否 将 后 端 服 务 器 标记 成 了 UP X: DOWN > 等 信息 。 


更 多 用 法 

如 果 你 想 添 加 更 多 的 后 端 服务 器 以 处 理 不 断 增 长 的 需求 ， 只 需 在 haproxy.cfg 中 添 
加 更 多 的 server 行 。 如 果 你 发 现 现 有 的 后 端 服 务 器 响应 速度 越 来 越 慢 ， 请 适当 减 
少 每 个 服务 器 的 maxconn 值 。HAProxy 有 大 量 值得 探索 的 配置 参数 ， 参 考 
HAProxy 的 文档 站 点 http://haproxy.1wt.eu/Adocs ° 

如 果 你 需要 提供 SSL 的 能 力 ， 可 以 将 Nginx 放 在 HAProxy 的 前 端 进行 处 理 。 


尽管 HAProxy 经 常用 于 Web 服务 器 ， 但 它 可 以 代理 很 多 服务 ， 不 仅仅 是 HTTP。 
它 可 以 处 理 任何 TCP 流量 ， 所 以 你 可 以 使 用 HAProxy 为 MySQL 服务 器 、SMTP 
服务 器 、 视 频 服务 器 以 及 任何 你 想 要 的 服务 器 实现 负载 均衡 。 


l 
NO 
Co 


使 用 iptables 管理 防火 墙 


Programming can be fun, so can cryptography; however they should not be 
combined. 


— Kreitzberg and Shneiderman 
C 编程 语言 被 形容 为 “只 写 ” 的 语言 ; 它 是 如 此 的 简洁 、 高 效 ， 甚 至 你 自己 读 自 己 
写 过 的 代码 都 可 能 很 难 理 解 。 同样 地 ， Linux 内 核 内 置 的 防火 墙 的 iptables 
的 配置 也 是 如 此 。 一 条 原始 的 iptables 命令 规则 看 上 去 像 这 


iptables -A INPUT -d 10.0.2.15/32 -p tcp -m tcp --dport 80 -j ACCEF 





除非 你 会 因为 掌握 了 命 令 行 的 这 些 似乎 党 无 意义 的 字符 串 而 获得 男子 气概 (诚然 这 
是 UNIX 系统 管理 员 的 职业 病 ) ， 否 则 ， 能 够 以 更 加 象征 性 和 可 读 性 的 方式 来 表达 
防火 墙 规则 是 更 好 的 选择 。 Puppet 在 这 方面 可 以 为 我 们 提供 帮助 ， 因 为 我 们 可 以 
用 它 对 iptables 的 实现 细节 进行 抽象 ， 并 通过 参考 管理 员 所 控制 的 服务 角色 来 定义 
防火 墙 规 则 ， 例 如 : 


iptables::role { "web-server": } 


准备 工作 


你 需要 我 们 在 第 5 章 为 配置 文件 添加 配置 行 一 节 中 创建 的 
Boy if no such line 函数 。 


操作 步骤 


1. 创建 一 个 iptables 模块 : 


# mkdir /etc/puppet/modules/iptables 
# mkdir /etc/puppet/modules/iptables/manifests 
# mkdir /etc/puppet/modules/iptables/files 


2. 使 用 如 下 内 容 创建 /etc/puppet/modules/iptables/manifests/init.pp 文件 : 


class iptables { 
file { [ "/root/iptables", 
"/root/iptables/hosts", 
"/root/iptables/roles" ] : 
ensure =&gt; directory, 


file { "/root/iptables/roles/common": 
source -&gt; "puppet:///modules/iptables/common.role", 
notify -&gt; Exec["run-iptables"], 

j 


file ( "/root/iptables/names": 
source -&gt; "puppet:///modules/iptables/names", 
notify -&gt; Exec["run-iptables"], 

} 


file { "/root/iptables/iptables.sh": 
source =&gt; "puppet:///modules/iptables/iptables.sh", 
mode =&gt; "755", 
notify =&gt; Exec["run-iptables"], 

j 


file ( "/root/iptables/hosts/${hostname}": 
content =&gt; "export MAIN_IP=${ipaddress}\n", 
replace -&gt; false, 
require -&gt; File["/root/iptables/hosts"], 
notify -&gt; Exec["run-iptables"], 


} 
exec { "run-iptables": 
cwd =&gt; "/root/iptables", 
command =&gt; "/usr/bin/test -f hosts/${hostname} & 


/root/iptables/iptables.sh && /sbin/iptables-save &gt; 
/etc/iptables.rules", 
refreshonly =&gt; true, 
j 


append if no such line { "restore iptables rules": 
file -&gt; "/etc/network/interfaces", 
line -&gt; "pre-up iptables-restore &lt; /etc/iptables. 





j 


define role() { 
include iptables 


file ( "/root/iptables/roles/${name}": 
source =&gt; "puppet:///modules/iptables/${name}.r 
replace =&gt; false, 
require =&gt; File["/root/iptables/roles"], 
notify =&gt; Exec["run-iptables"], 





} 

append_if_no_such_line { "${name} role": 
file =&gt; "/root/iptables/hosts/${hostname}", 
line -&gt; ". “dirname \$0°/roles/${name}", 


require =&gt; File["/root/iptables/hosts/${hostname 
notify =&gt; Exec["run-iptables"], 











3. 使 用 如 下 内 容 创建 Jetc/puppet/modules/iptables/files/iptables.sh 文件 : 


# Server names and ports 
“dirname $0°/names 


# Interfaces (override in host-specific file if necessary) 
export EXT INTERFACE-ethO 


# Flush and remove all chains 
iptables -P INPUT ACCEPT 
iptables -P OUTPUT ACCEPT 
iptables -F 

iptables -X 


# Allow all traffic on loopback interface 
iptables -I INPUT 1 -i lo -j ACCEPT 
iptables -I OUTPUT 1 -o lo -j ACCEPT 


# Allow established and related connections 
iptables -I INPUT 2 -m state --state ESTABLISHED,RELATED -j ACC 
iptables -I OUTPUT 2 -m state --state ESTABLISHED,RELATED -j AC 


# Include machine specific settings 
HOST RULES- dirname $0°/hosts/ hostname -s` 
[ -f $(HOST RULES) ] && . $(HOST. RULES) 
[ "$(MAIN IP)" == "" ] && ( echo No MAIN IP was set, \ 
please set the primary IP address in $(HOST RULES). ; exit 1 ) 


# Include common settings 
“dirname $0°/roles/common 


# Drop all non-matching packets 

iptables -A INPUT -j LOG --log-prefix "INPUT: " 
iptables -A INPUT -j DROP 

iptables -A OUTPUT -j LOG --log-prefix "OUTPUT: " 
iptables -A OUTPUT -j DROP 


echo -e "Test remote login and then:\n iptables-save \ 
&gt;/etc/iptables.rules" 





4. 使 用 如 下 内 容 创 建 /etc/puppet/modules/iptables/files/names 文件 : 


# Servers 
export PUPPETMASTER=10.0.2.15 


# Well-known ports 
export DNS=53 

export FTP-21 

export GIT-9418 
export HEARTBEAT-694 
export IMAPS-993 
export IRC-6667 
export MONIT-2828 
export MYSQL-3306 
export MYSQL MASTER-3307 
export NRPE-5666 
export NTP-123 
export POSTGRES-5432 
export PUPPET-8140 
export RSYNCD=873 
export SMTP-25 
export SPHINX-3312 
export SSH-22 

export STARLING-3307 
export SYSLOG-514 
export WEB-80 

export WEB SSL-443 
export ZABBIX-10051 


5. 使 用 如 下 内 容 创建 Jetc/puppet/modules/iptables/files/common.role 文件 : 


# Common rules for all hosts 
iptables -A INPUT -p tcp -m tcp -d ${MAIN_IP} --dport ${SSH} -j 


iptables -A INPUT -p ICMP --icmp-type echo-request -j ACCEPT 
iptables -A OUTPUT -p ICMP --icmp-type echo-request -j ACCEPT 


iptables -A OUTPUT -p tcp --dport ${SSH} -j ACCEPT 

iptables -A OUTPUT -p tcp --dport ${SMTP} -j ACCEPT 

iptables -A OUTPUT -p udp --dport $(NTP) -j ACCEPT 

iptables -A OUTPUT -p tcp --dport ${NTP} -j ACCEPT 

iptables -A OUTPUT -p udp --dport $(DNS) -j ACCEPT 

iptables -A OUTPUT -p tcp --dport ${WEB} -j ACCEPT 

iptables -A OUTPUT -p tcp --dport $(WEB SSL) -j ACCEPT 
iptables -A OUTPUT -p tcp -d ${PUPPETMASTER} --dport ${PUPPET} 
iptables -A OUTPUT -p tcp --dport ${MYSQL} -j ACCEPT 


# Drop some commonly probed ports 

iptables -A INPUT -p tcp --dport 23 -j DROP # telnet 
iptables -A INPUT -p tcp --dport 135 -j DROP # epmap 
iptables -A INPUT -p tcp --dport 139 -j DROP # netbios 
iptables -A INPUT -p tcp --dport 445 -j DROP # Microsoft DS 
iptables -A INPUT -p udp --dport 1433 -j DROP # SQL server 
iptables -A INPUT -p tcp --dport 1433 -j DROP # SQL server 
iptables -A INPUT -p udp --dport 1434 -j DROP # SQL server 
iptables -A INPUT -p tcp --dport 1434 -j DROP # SQL server 
iptables -A INPUT -p tcp --dport 2967 -j DROP # SSC-agent 


aL —— R 





6. 使 用 如 下 内 容 创建 Jetc/puppet/modules/iptables/files/web-server.role 文件 : 


# Access to web 
iptables -A INPUT -p tcp -d ${MAIN_IP} --dport ${WEB} -j ACCEPT 


# Send mail from web applications 
iptables -A OUTPUT -p tcp --dport ${SMTP} -j ACCEPT 


7. 12 to F A 41 /etc/puppet/modules/iptables/files/puppet-server.role 3c 
件 : 


# Access to puppet 
iptables -A INPUT -p tcp -d ${MAIN_IP} --dport ${PUPPET} -j ACC 
[| 


8. 在 你 的 Puppetmaster 节点 上 包含 如 下 内 容 : 





9. 


i& 4 


iptables::role { "web-server": } 
iptables::role { "puppet-server": } 


A- 


Puppet : 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1311682880' 


notice: /Stage[main]/Iptables/File[/root/iptables]/ensure: cree 
notice: /Stage[main]/Iptables/File[/root/iptables/names]/ensure 
defined content as '{md5}9bb004a7d2c6d70616b149d044c22669' 


info: /Stage[main]/Iptables/File[/root/iptables/names]: Schedul 
refresh of Exec[run-iptables] 


notice: /Stage[main]/Iptables/File[/root/iptables/hosts]/ensure 
created 


notice: /Stage[main]/Iptables/File[/root/iptables/hosts/cookboc 
ensure: defined content as '(md5)dOO0bc730514bbb74cdef3dad70058e 


info: /Stage[main]/Iptables/File[/root/iptables/hosts/cookbook] 
Scheduling refresh of Exec[run-iptables] 


notice: /Stage[main]//Node[cookbook]/Iptables::Role[web-server] 
Append if no such line[web-server role]/Exec[/bin/echo '. "dirr 
$0'/roles/web-server' &gt;&gt; '/root/iptables/hosts/cookbook' ] 
executed successfully 





info: /Stage[main]//Node[cookbook]/Iptables::Role[web-server]/ 
Append if no such line[web-server role]/Exec[/bin/echo '. "dirr 
$0'/roles/web-server' &gt;&gt; '/root/iptables/hosts/cookbook' ] 
Scheduling refresh of Exec[run-iptables] 





notice: /Stage[main]//Node[cookbook]/Iptables::Role[puppetserve 
Append if no such line[puppet-server role]/Exec[/bin/echo 

'. “dirname $0 /roles/puppet-server' &gt;&gt; '/root/iptables/Fr 
cookbook']/returns: executed successfully 





info: /Stage[main]//Node[cookbook]/Iptables::Role[puppet-server 
Append if no such line[puppet-server role]/Exec[/bin/echo '. 
“dirname $0°/roles/puppet-server' &gt;&gt; '/root/iptables/host 
cookbook']: Scheduling refresh of Exec[run-iptables] 





notice: /Stage[main]/Iptables/File[/root/iptables/roles]/ensure 
created 


notice: /Stage[main]//Node[cookbook]/Iptables::Role[puppetserve 
File[/root/iptables/roles/puppet-server]/ensure: defined 


content as '{md5}c30a13f7792525c181e14e78c9a510cd' 


info: /Stage[main]//Node[cookbook]/Iptables::Role[puppet-server 
File[/root/iptables/roles/puppet-server]: Scheduling refresh of 
Exec[run-iptables] 


notice: /Stage[main]//Node[cookbook]/Iptables::Role[web-server] 
File[/root/iptables/roles/web-server]/ensure: defined content e 
' (md5)11e5747cb2737903ffc34133f5fe2452' 


info: /Stage[main]//Node[cookbook]/Iptables::Role[web-server]/ 
File[/root/iptables/roles/web-server]: Scheduling refresh of 
Exec[run-iptables] 


notice: /Stage[main]/Iptables/File[/root/iptables/roles/common] 
ensure: defined content as '(md5j116f57d4e31f3e0b351da6679dca1E5 


info: /Stage[main]/Iptables/File[/root/iptables/roles/common]: 
Scheduling refresh of Exec[run-iptables] 


notice: /Stage[main]/Iptables/File[/root/iptables/iptables.sh]/ 
ensure: defined content as '{md5}340ff9fb5945e9fc7dd78b21Ff 45dd€é 


info: /Stage[main]/Iptables/File[/root/iptables/iptables.sh]: 
Scheduling refresh of Exec[run-iptables] 


notice: /Stage[main]/Iptables/Exec[run-iptables]: Triggered 
'refresh' from 8 events 


notice: /Stage[main]/Iptables/Append if no such line[restore 
iptables rules]/Exec[/bin/echo 'pre-up iptables-restore &lt; /e 
iptables.rules' &gt;&gt; '/etc/network/interfaces']/returns: e» 
successfully 





notice: Finished catalog run in 4.86 seconds 
回击 于 i 


10. 检查 要 求 的 规则 是 否 已 被 安装 : 





# iptables -nL 


Chain INPUT (policy ACCEPT) 


target 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
DROP 
DROP 
DROP 
DROP 
DROP 
DROP 
DROP 
DROP 
DROP 
LOG 
flags 
DROP 


prot opt source 
all -- 0.0.0 


OO0OO0O0OO0O0OO0OO0OO0OO0O0O0OO© 
DOOD DO OOD OO OD 


tcp -- 
all =O. 
© level 4 prefi 
all 0.0.0. 


ct 
o 
"o 
1 
1 
Go sew cmi eer der um) (mg m] [ep pm) Gm e 


© 


.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 
.0/0 


0/0 
x 
0/0 


destination 
0.0.0.0/0 
0.0.0.0/0 
10.0.2.15 
10.0.2.15 


(op lo oo oo oo MD (dm 
© 
eS 
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.0.0/0 


U 


odooooooooocoo.: 


0 
0 
0 
0 
0 
9. 
0 
0 
0 
0 
P 
9. 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 
Chain OUTPUT (policy ACCEPT) 


State RELATED, ESTABLISH 
tcp dpt:80 
tcp dpt:8140 
tcp dpt:22 
icmp type 8 
tcp dpt:23 
tcp dpt:135 
tcp dpt:139 
tcp dpt:445 
udp dpt:1433 
tcp dpt:1433 
udp dpt:1434 
tcp dpt:1434 
tcp dpt:2967 
LOG 


target prot opt source destination 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISH 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:123 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 
ACCEPT tcp -- 0.0.0.0/0 10.0.2.15 tcp dpt:8140 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG 

flags © level 4 prefix “OUTPUT: ' 

DROP all -- 0.0.0.0/0 0.0.0.0/0 


E ae 





工作 原理 


为 了 创建 一 套 合适 的 防火 墙 规则 ， 我 们 需要 知道 节点 的 主 IP 地 址 以 及 其 运行 了 哪 
些 服 务 。 我 们 还 需要 添加 一 些 所 有 的 机 器 都 要 设置 的 共同 规则 (例如 ， 人 允许 


SSH) ， 并 运行 一 系列 的 iptables 4 命令 以 激活 我 们 已 经 生成 的 规则 。 之 后 我 们 还 要 


保存 这 些 规则 ， 以 便 使 这 则 可 以 在 开机 时 恢复 执行 。 下 面 介绍 所 有 的 这 一 
如 何 完成 的 。 


首先 ， 我 们 创建 一 个 names 文件 为 常用 的 端口 定义 shell 变量 。 这 意味 着 ， 当 我 
们 定义 防火 墙 规则 时 ， 可 以 引用 变量 ， 例 如 对 于 MySQL 服务 可 以 使 用 变量 
$(MYSQL) 取代 数值 端口 号 3306 © 


common.role 文件 包 含 了 一 些 对 所 有 机 器 都 有 用 的 规则 。 编 辑 这 个 文件 以 适应 你 自 
己 的 所 有 机 器 (例如 ， 你 可 能 仅 允 许 从 指定 的 IP 范围 访问 SSH) e 


web-server.role 和 puppet-server.role 文件 包含 了 两 个 特定 角色 的 规则 。 你 可 以 添 
多 角色 : 例如 ， 数 据 库 服务 器 、 应 用 服 
* DNS 服务 器 ， 等 等 。 文 件 中 所 有 的 规则 都 具有 如 下 的 格式 : 


iptables -A INPUT -p tcp -d ${MAIN_IP} --dport ${WEB} -j ACCEPT 


， 你 只 需要 修改 S{WEB} 这 部 分 : 将 其 蔡 换 为 另 一 个 端口 名 (定义 在 names 
i ct... 
names 文件 中 添加 相应 的 定义 。 


iptables.sh 脚本 读 取 其 他 的 所 有 文件 并 执行 规则 要 求 的 iptables 命令 。 每 当 相 关 文 
件 有 任何 改变 ，Puppet 就 执行 这 个 脚本 ， 因 此 要 想 刷 新 防火 墙 ， 你 需要 做 的 工作 
就 是 改变 相关 的 配置 并 运行 Puppet 。 


Puppet 还 会 将 当前 的 规则 集 保存 在 /etc/iptables.rules 文件 中 。 为 了 让 机 器 重启 后 
加 载 规则 集 文 件 ，Puppet 在 /etc/network/interfaces 文件 中 添加 了 如 下 一 行 


pre-up iptables-restore < /etc/iptables.rules 


所 有 这 一 切 意味 着 ， 在 相关 的 模块 中 (例如 apache 模块 ) ， 你 只 要 简单 地 包含 去 
下 一 行 即 可 创建 相应 的 防火 墙 : 


iptables::role { "web-server": } 


一 旦 防火 墙 被 激活 ， 任 何不 符合 规则 的 数据 包 将 被 阻止 并 记录 到 /var/log/messages 
日 志文 件 。 检查 这 个 文件 ， 以 帮助 解决 防火 墙 的 任何 问题 o 


更 多 用 法 


如 果 在 你 的 规则 中 引用 了 某 些 特定 的 机 器 (例如 ， 你 的 监控 服务 器 ) ， 可 以 在 
names 文件 中 添加 如 下 的 定义 : 


MONITOR-10.0.2.15 


然后 在 适当 的 位 置 (例如 common.role 文件 中 ) ， 你 可 以 允许 来 自 这 人 台 机 器 的 访 
问 ， 例 如 ， 人 允许 来 自 监控 服务 器 对 指定 主机 NRPE 端口 的 访问 规则 如 下 : 


iptables -A INPUT -p tcp -m tcp -d ${MAIN_IP} -s ${MONITOR} --dport 
«I — 1 d: 








你 也 可 以 用 这 种 方法 指定 数据 库 服务 器 ， 以 及 在 role 文件 中 需要 引用 特定 的 IP 地 
址 、 网 络 地 址 和 地 址 范围 等 情况 。 


像 这 样 动态 生成 防火 墙 规则 集 对 于 云 基 础 设施 是 非常 有 用 的 ， 云 中 的 服务 器 列表 会 
因为 节点 的 创建 和 销 级 而 不 断 地 变化 。 对 于 需要 触发 防火 墙 重建 的 任何 资源 ， 你 只 
要 在 此 资源 中 添加 如 下 代码 即 可 : 


notify => Exec["run-iptables"], 


你 可 能 有 一 个 由 版 本 控制 系统 维护 的 或 通过 cloud API (149 > Rackspace 或 
Amazon EC2) 自动 更 新 的 “ 主 服务 器 列表 (master server list) ”。 可 以 在 
Puppet 中 将 这 个 列表 定义 成 一 个 file 资源 ， 通 过 在 此 资源 中 使 用 notify 参数 即 可 触 
发 防火 墙 的 重建 ， 所 以 每 次 当 你 检 入 (checkin) 主 服务 器 列表 的 变化 ， 每 台 机 器 
上 运行 的 Puppet 将 相应 地 更 新 其 防火 墙 。 

当然 ， 这 种 高 度 的 自动 化 意味 着 你 需要 对 你 检 入 的 内 容 格外 小 心 ， 因 为 任何 错误 都 
可 能 会 导致 整个 基础 设施 离线 。 

测试 变更 的 一 种 好 方法 是 对 用 于 测试 的 Puppet 配置 清单 使 用 一 个 单独 的 Git 分 
支 ， 在 分 支 中 仅 将 变更 应 用 到 一 到 两 台 服 务 器 。 一 旦 你 验证 了 变更 的 正确 性 ， 就 
可 以 将 其 合并 到 主 分 支 并 回 滚 到 主 分 支 。 


管理 Amazon 的 EC2 实例 


The most amazing achievement of the computer software industry is its 
continuing cancellation of the steady and staggering gains made by the 
computer hardware industry. 


一 Henry Petroski 


如 果 你 觉得 你 的 电脑 近年 来 变 得 比较 慢 ， 这 可 能 是 正确 的 。 对 于 大 多 数 应 用 程序 而 
言 ， 你 已 不 必 将 所 有 的 计算 能 力 (computing power) 全 部 挤 进 你 办 公 虽 下 的 一 个 
米色 念 子 里 。 为 了 解决 这 个 问题 ， 计 算 能 力 已 经 成 为 一 种 可 以 在 网 上 购买 的 商品 。 
亚马逊 不 只 是 卖 书 了 : 他 们 也 卖 首饰 、 摩 托 车 、 叶 鼓风机 ， 以 及 对 我 们 当前 目的 有 
用 的 计算 能 力 。 你 可 以 用 信用 卡 签 约 使 用 Amazon Web Services， 并 根据 你 的 需 
要 创建 众多 的 服务 器 实例 ， 每 个 服务 器 基于 小 时 计 费 。 如 果 你 只 是 想 试 水 ， 可 以 运 
行 一 个 免费 最 长 一 年 的 微型 实例 。 如 果 你 正在 寻找 将 你 的 一 部 分 基础 设施 迁移 到 公 
共 云 的 方案 ， 这 是 一 个 不 错 的 实验 方式 。 


本 处 方 将 向 你 展示 一 个 使 用 Puppet 创建 并 自动 供应 一 个 EC2 实例 的 简单 方法 。 
尽管 还 可 以 使 用 更 强大 的 方式 实现 ， 包 括 使 用 MCollective， 但 作为 教学 目的 ， 我 
们 将 只 做 最 低 限 度 的 必要 的 工作 : 让 一 个 实例 运行 起 来 并 应 用 Puppet 配置 清单 。 
一 旦 你 获得 了 基本 思路 ， 你 就 可 以 以 此 作为 基础 加 入 你 自己 的 改良 和 改进 。 


准备 工作 


你 需要 一 个 Amazon Web Services (AWS) 账号 。 如 果 还 没有 ， 请 到 http://aws- 
portal.amazon.com/gp/aws/developer/subscription/index.html? 
productCode=AmazonEC2 注册 。 


你 需要 AWS 访问 的 key ID， 这 个 秘密 访问 Key 对 应 于 你 的 AWS 账号 。 你 可 以 在 
这 个 页 面 找到 它 : http://aws- 
portal.amazon.com/gp/aws/developer/account/index.html?action=access-key ° 


你 还 需要 访问 EC2 实例 的 SSH BAA o Ase ARH Rte FH : 
1. 在 https://console.aws.amazon.com/ec2/home 登录 AWS 管理 控制 台 。 


2. 选择 Amazon EC2 标签 ， 在 导航 部 分 的 标题 Network & Security 上 单 击 
Key Pairs ° 


3. 4 Create key pair， 当 提示 出 现 后 下 载 keypair 文件 。 将 此 文件 保存 到 一 个 
安全 的 地 方 ， 并 使 用 如 下 命令 为 它 设置 模式 为 0600 的 权限 : 


# chmod 600 bitfield.pem 


1. 创建 fog 模块 : 


# mkdir /etc/puppet/modules/fog 
# mkdir /etc/puppet/modules/fog/manifests 
# mkdir /etc/puppet/modules/fog/files 


2. 使 用 如 下 内 容 创建 /etc/puppet/modules/fog/manifests/init.pp 文件 : 


class fog { 
package { "fog": 
ensure =&gt; installed, 
provider =&gt; gem, 


} 


file { "/usr/local/etc/fog_credentials": 
source -&gt; "puppet:///modules/fog/fog_credentials", 


j 


file ( "/usr/local/bin/boot-ec2": 
source -&gt; "puppet:///modules/fog/boot-ec2.rb", 
mode -&gt; "755", 

} 


file { "/usr/local/bin/bootstrap-ec2": 
source =&gt; "puppet:///modules/fog/bootstrap-ec2.sh", 


mode =&gt; "755", 


} 
二 | 


Z 


3. 使 用 如 下 内 容 创建 Jetc/puppet/modules/fog/files/boot-ec2.rb 文件 (修改 
‘private_key_path 参数 指向 你 自己 的 AWS 私 钥 文件 ) : 


#!/usr/bin/ruby 
require 'rubygems' 
require 'fog' 


HOSTNAME - 'devbox' 
Qserver = '' 
Fog.credentials path - '/usr/local/etc/fog credentials' 


def command( cmdline ) 
puts "Running command: #{cmdline}" 
res = @server.ssh( "sudo #{cmdline}" )[0] 
puts res.stdout 
puts res.stderr 
end 


def create() 
puts "Bootstrapping instance..." 
connection = Fog::Compute.new( { :provider -&gt; 'AWS' } ) 
@server = connection.servers.bootstrap( :key_name =&gt; 
"'bitfield', 
:private key path = 
'~/bitfield.pem', 
:USername =&gt; ‘uk 
@server.wait_for { ready? } 
Qserver.reload 
puts "Instance name: #{@server.dns_name}" 
puts "Setting hostname..." 
Qserver.ssh( "sudo hostname #{HOSTNAME}" ) 
end 


def copy bootstrap files() 

puts "Copying bootstrap files..." 

Qserver.scp( "puppet.tar.gz", "/tmp" ) 

Qserver.scp( "/usr/local/bin/bootstrap-ec2", "/tmp" ) 
end 


def bootstrap() 

puts "Bootstrapping..." 

command( "sudo sh /tmp/bootstrap-ec2" ) 
end 


create() 
copy. bootstrap files() 
bootstrap() 
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4. 使 用 如 下 内 容 创 建 letc/puppet/modules/fog/files/bootstrap-ec2.sh 文件 : 


#!/bin/bash 

apt-get update 

apt-get -y install puppet 

apt-get -y install git-core 

cd /root 

tar xzf /tmp/puppet.tar.gz 

puppet --modulepath=/root/puppet/modules \ 
/root/puppet/manifests/site.pp 


. 使 用 如 下 内 容 创建 Jetc/puppet/modules/fog/files/fog credentials 文件 (使 用 
你 自己 的 AWS 和 凭证 替换 相应 的 值 ) 


:default: 
:aws access key id: AKIAI5RGMC3QRPO3AJWR 
:aws secret access key: iygf2+7SfKV/OlEyrh+otazeVin9G3XxXrvJYk 


p ————————————! | 


. 添加 如 下 的 节点 声明 ， 此 节点 将 会 应 用 EC2 实例 : 





node devbox { 
file { "/etc/motd": 
content =&gt; "Puppet power!\n", 
} 


.添加 如 下 代码 到 一 个 节点 : 


include fog 


.运行 Puppet : 


ES 


# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1313160844' 


notice: /Stage[main]/Fog/Package[fog]/ensure: ensure changed 
'purged' to 'present' 


notice: /Stage[main]/Fog/File[/usr/local/bin/bootstrap-ec2]/ 
ensure: defined content as '{md5}5bc2ffb3b5aa94b33b17d419625eck 


notice: /Stage[main]/Fog/File[/usr/local/bin/boot-ec2]/ensure: 
defined content as '{md5}dadc835c6e52c89cb928d60db7677713' 


notice: /Stage[main]/Fog/File[/usr/local/etc/fog credentials]/ 
ensure: defined content as '{md5}3b140aedaci70bbfcc2837077e03bk 


notice: Finished catalog run in 1.67 seconds 





9. 在 你 的 工作 目录 中 ， 为 分 发 EC2 实例 创建 一 个 Puppet 的 tar 包 。 最 简单 的 方 


10. 


SSS ae 


法 是 对 你 现 有 的 Puppet 仓库 (AT git 的 裸 仓 库 需 要 先 检 出 ) 执行 tar 命令 : 


# cd /etc 

# tar czf /tmp/puppet.tar.gz --exclude .git puppet 
# cd - 

# mv /tmp/puppet.tar.gz . 


运行 boot-ec2 脚本 : 


# boot-ec2 

Bootstrapping instance... 

Instance name: ec2-107-20-59-174.compute-1.amazonaws.com 
Setting hostname... 

Copying bootstrap files... 

Bootstrapping... 

Running command: sudo sh /tmp/bootstrap.sh 

sudo: unable to resolve host devbox 

sudo: unable to resolve host devbox 


notice: //Node[devbox]/File[/etc/motd]/content: defined content 
‘unknown checksum' 





11. 登录 到 该 实例 检查 你 的 配置 清单 已 被 正确 应 用 : 


# ssh -i bitfield.pem ubuntu@ec2-107 -20-59-174.compute-1.amazor 
Puppet power! 
ubuntuQdevbox:-$ 


‘| 








12. & GAERESLT 1-9 Puppet S AERIS Z TE | PRERME TTAB » 
运行 此 脚本 十 次 即 可 。 不 要 忘记 使 用 完毕 之 后 ， 要 在 AWS 管理 控制 台 关 闭 这 
些 实例 ( 按 使 用 时 间 付 费 的 哦 | ) œ 


工作 原理 


Fog 是 一 个 用 于 管理 云 资 源 的 Ruby 库 ， 包 括 EC2 和 其 他 一 些 供应 商 (如 
Rackspace) » 尽管 你 可 以 使 用 Amazon 自己 提供 的 ec2-tools 脚本 启动 和 管理 
EC2 实例 ， 但 使 用 Fog 可 以 轻而易举 地 将 你 的 实例 迁移 到 另 一 个 供应 商 ， 而 且 还 
不 需要 你 为 运行 ec2-tools 而 安装 Java 以 及 其 他 依赖 的 软件 。 对 于 创建 EC2 基础 

设施 的 这 两 种 方法 来 说 ， 我 可 以 自信 的 说 我 更 喜欢 用 Fog ， 尽 管事 实 上 它 几乎 没有 
文档 (而 Amazon 却 有 很 多 ) 。 


在 boot-ec2 脚本 中 ， 我 们 用 自己 的 凭证 使 用 Fog 创建 了 一 个 新 的 EC2 实例 ， 并 
为 其 传输 了 一 份 Puppet 配置 清单 的 拷贝 。 然后 我 们 复制 bootstrap-ec2 HPA » è 
用 于 安装 Puppet 以 及 应 用 程序 的 配置 清单 。 


对 于 本 例 而 言 ， 配 置 清 单 相当 简单 : 


file { "/etc/motd": 
content => "Puppet power!\n", 


} 


你 可 以 轻松 地 修改 它 ， 比 如， 与 你 的 生产 应 用 服务 器 同名 。 这 对 于 快速 部 署 位 于 物 
理 负 载 平衡 器 3 之 后 的 大 量 应 用 程序 服务 器 来 说 是 一 个 好 方法 ， 例 如 ， 处 理 突然 禹 逢 
的 需求 。 另 外 ， 你 也 可 以 使 用 EC2 实例 作为 测试 服务 器 或 临时 服务 器 (这 完全 取 
决 于 你 自己 的 需求 ) 。 


更 多 用 法 


除了 你 的 信用 卡 强加 给 你 的 限制 之 外 ， 此 处 的 脚本 没有 对 你 能 部 署 的 EC2 实例 数 
o 所 以 你 可 以 尝试 修改 此 处 所 示 的 脚本 ， 启 用 一 个 由 命令 行 参 数 设 置 
的 实例 数量 。 


你 或 许 想 要 创 aa n 型 的 实例 ， 例 如 : Web 服务 器 、 人 工 队 列 服务 器 (queue 


worker servers) 等 。 你 可 以 修改 启动 脚本 ， 携 带 一 eer 定 要 启动 的 实例 类 
Al o 


此 处 显示 的 脚本 有 一 个 重要 的 限制 ， 就 是 它 以 tar 包 形 式 提 供 了 一 个 包含 你 的 
Puppet 配置 清单 快照 的 实例 。 显然 ， 当 你 在 Puppetmaster 上 修改 你 的 Puppet Ac 
置 清单 后 ，EC2 实例 不 受 影 响 ， 即 更 改 不 会 被 应 用 到 EC2 实例 。 基于 简单 的 目 


的 ， 本 处 方 中 的 例子 仅仅 使 用 Puppet 构建 了 初始 的 服务 器 ， 它 没有 运行 Puppet 
守护 进程 也 没 与 Puppetmaster 服务 器 联系 。 


这 对 于 短 生存 期 或 仅 为 指定 目的 而 运行 的 EC2 实例 往往 还 是 不 错 的 。 如 果 你 需要 
运行 长 生存 期 的 服务 器 ， 或 者 需要 通过 Puppet 更 新 EC2 实例 服务 器 ， 就 应 该 修 
改 脚本 使 实例 能 与 你 的 Puppetmaster 服务 器 取得 联系 。 要 解决 的 是 证 书签 名 问 
题 ， 例 如 你 可 以 对 证 书 进行 预 签名 并 伴随 bootstrap 脚本 一 同 部 署 到 EC2 实例 。 
另外 一 种 方法 是 ， 在 脚本 中 通过 SSH 或 MCollective 登录 Puppetmaster 服务 器 并 
对 实例 的 证 书 请 求 进 行 签名 。 这 两 种 证 书签 名 的 机 制 或 简单 或 复杂 ， 随 你 选择 。 


你 可 能 还 想 使 用 其 他 的 云 服 务 提供 商 ， 例 如 Rackspace 或 Linode。 为 此 ， 你 需要 
对 脚本 做 轻微 地 修改 。 请 参考 Fog 文档 获取 相关 的 详细 信息 ， 网 址 为 http://fog.io 


你 也 可 以 使 用 Puppet 新 的 云 供应 商 扩 展 (Cloud Provisioner extension) 来 管 


理 EC2 实例 ; 要 获取 相关 的 详细 信息 请 参考 Puppet Labs 的 
http://docs.puppetlabs.com/guides/cloud_pack_getting_started.html 页 面 。 


参见 本 书 


e 本 章 的 使 用 Vagrant 管理 虚拟 机 一 节 


使 用 Vagrant 管理 虚拟 机 


In 1974 computers were oppressive devices in far-off air-conditioned places. 
Now you can be oppressed in your own living room. 


— Ted Nelson 


虽然 能 够 在 云 中 部 署 虚拟 机 是 一 个 创举 ， 但 若 能 将 虚拟 机 运行 在 你 自己 的 桌面 系统 
中 有 时 甚至 是 更 方便 的 ， 尤 其 对 于 测试 来 说 更 是 如 此 。 如 果 每 个 开发 者 都 有 一 个 克 
隆 自 生产 系统 的 运行 在 自己 机 器 上 的 虚拟 机 ， 那 么 实际 部 署 时 就 不 太 可 能 遇 到 问 
Mo 同样 地 ， 每 个 系统 管理 员 也 可 以 在 私人 的 虚拟 机 上 测试 配置 管理 的 变化 ， 这 
是 一 种 使 错误 配置 实际 影响 客户 之 前 捕捉 错误 的 良好 方式 。 


几 年 前 出 现 的 工具 (4e VirtualBox 或 VMware) 就 已 经 能 在 桌面 系统 上 创建 虚拟 
机 。 然而 ，Vagrant 的 到 来 使 虽 面 云 技术 旧 正 实现 了 起 飞 ， 它 是 一 个 管理 和 供应 虚 
拟 化 环境 的 自动 化 工具 。 Vagrant 是 VirtualBox 的 前 端 工具 ， 它 驱动 VirtualBox X 
现 自动 创建 虚拟 机 的 过 程 ， 并 使 用 自动 化 管理 配置 工具 (Chef X Puppet) 为 虚拟 
机 调配 所 需 的 资源 ， 设 置 网 络 ， 端 口 转发 ， 以 及 对 运行 着 的 虚拟 机 打包 生成 映像 文 
件 以 便 其 他 人 使 用 。 


你 可 以 使 用 Vagrant 管理 你 用 于 开发 目的 虚拟 机 ， 这 些 虚 拟 机 既 可 以 运行 在 你 自己 
的 桌面 上 ， 也 可 以 运行 在 一 台 共 享 的 机 器 上 ， 上 比如 一 台 持 续集 成 服务 器 

(Continuous Integration Server) ° 例如， 你 可 以 使 用 像 Jenkins 那样 的 CI 工具 
启动 一 个 由 Vagrant 管理 的 虚拟 机 ， 部 署 你 的 应 用 程序 ， 然 后 在 虚拟 机 里 运行 测试 
实验 ， 就 好 像 是 在 生产 环境 中 一 样 。 


操作 步骤 
1. 创建 一 个 vagrant 模块 : 


# mkdir /etc/puppet/modules/vagrant 
# mkdir /etc/puppet/modules/vagrant/manifests 
# mkdir /etc/puppet/modules/vagrant/files 


2. 1£ M de T A 4) /etc/puppet/modules/vagrant/manifests/init.pp 文件 : 


class vagrant { 

$virtualbox deps = [ "libgli-mesa-glx'", 
"libqt4-network", 
"libqt4-opengl", 
"libqtcore4", 
"libgtgui4", 
"libsdli.2debian", 
"libxmue", 
"libxt6", 
"gawk" À 
"linux-headers-${kernelrelease}" ] 


package { $virtualbox_deps: ensure =&gt; installed } 


exec { "download-virtualbox": 
cwd -&gt; "/root", 
command -&gt; "/usr/bin/wget http://download.virtue 
virtualbox/4.1.0/virtualbox-4.1 4.1.0-73009-Ubuntu-lucid 
1386.deb", 
creates -&gt; "/root/virtualbox-4.1 4.1.0-73009~Ubt 
i386.deb", 
timeout =&gt; "-1", 
} 


exec { "install-virtualbox": 
command =&gt; "/usr/bin/dpkg -i /root/virtualbox-4. 
73009-Ubuntu-lucid 1i386.deb", 
unless =&gt; "/usr/bin/dpkg -1 |/bin/grep virtualk 
require -&gt; [ Exec["download-virtualbox"], 
Package[$virtualbox deps] ], 


j 


$vagrant deps - [ "build-essential", 
"rubygems" ] 


package ( $vagrant deps: ensure -&gt; installed } 


exec ( "install-rubygems-update": 
command =&gt; "/usr/bin/gem install -v 1.8.6 rubyge 
unless =&gt; "/usr/bin/gem -v |/bin/grep 1.8.6", 
require -&gt; Package["rubygems"], 


} 


exec { "run-rubygems-update": 
command =&gt; "/var/lib/gems/1.8/bin/update rubygen 
unless =&gt; "/usr/bin/gem -v |/bin/grep 1.8.6", 
require -&gt; Exec["install-rubygems-update"], 


j 


package ( "vagrant": 
provider -&gt; gem, 
ensure -&gt; installed, 
require =&gt; [ Package["build-essential"], 
Exec["runrubygems-update"] ], 


j 


define devbox( $vm user ) { 
include vagrant 
$vm dir = "/home/${vm_user }/${name}" 
file { [ $vm_ dir， 
"${vm_dir}/data" ]: 
ensure =&gt; directory, 
owner =&gt; $vm user, 


file { "${vm_dir}/Vagrantfile": 
source =&gt; "puppet:///modules/vagrant/devbox. 


Vagrantfile", 


require =&gt; File[$vm_dir], 


} 








3. 使 用 如 下 内 容 创 建 /etc/puppet/modules/vagrant/files/devbox.Vagrantfile 文 


4. 


5. 


6. 


件 : 


Vagrant::Config.run do |config| 


config.vm. 
.box url - "http://files.vagrantup.com/lucid32.box" 


config.vm 


config.vm. 
config.vm. 


config.vm. 


vm.name 
end 


config.vm. 


box = "lucid32" 


forward_port "http", 80, 8080 
share_folder "v-data", "/vagrant_data", "./data" 


customize do |vm| 
= "devbox" 


provision :puppet, :module_path =&gt; "puppet/module 


do |puppet | 
puppet.manifests_path = "puppet/manifests" 
puppet.manifest_file = "site.pp" 


end 
end 


tsi 用 





在 一 个 你 想 要 运行 虚拟 机 的 节点 上 包含 如 下 代码 (将 john 替换 为 你 自己 的 用 


户 名 ) 


vagrant::devbox { "devbox": 


vm_user 


} 


-&gt; "john", 


添加 一 个 名 为 devbox 的 节点 : 


node devbox 
group { 


{ 


"puppet": ensure =&gt; present } 


file ( "/etc/motd": 
content -&gt; "Puppet power!\n", 


# puppet agent --test 


T. 你 应 该 在 要 运行 座 拟 机 的 宿主 机 上 找到 用 户 john 自家 目录 下 已 创建 的 devbox 
目录 。 在 此 目录 中 需要 拥有 一 套 Puppet 配置 清单 的 子 目 录 (名 为 puppet) ， 
既 可 以 从 你 的 Puppet 仓库 检 出 到 名 为 puppet 的 目录 ， 也 可 以 创建 一 个 名 为 
puppet 的 符号 链接 (symlink) 指向 宿主 机 上 已 存在 的 Puppet 配置 清单 目 
录 : 


# cd ~/devbox 
# git clone git@github.com:Example/Puppet.git puppet 


或 者 
# ln -s /etc/puppet ~/devbox/puppet 


8. 在 devbox 目录 中 ， 运 行 如 下 命令 行 : 


# vagrant up 

[default] Box lucid32 was not found. Fetching box from specifie 
URL... 

[default] Downloading with Vagrant::Downloaders::HTTP... 
[default] Downloading box: http://files.vagrantup.com/lucid32.k 
[default] Extracting box... 

[default] Verifying box... 

[default] Cleaning up downloaded box... 

[default] Importing base box 'lucid32'... 

[default] Matching MAC address for NAT networking... 

[default] Clearing any previously set forwarded ports... 
[default] Forwarding ports... 

[default] -- http: 80 =&gt; 8080 (adapter 1) 

[default] -- ssh: 22 =&gt; 2222 (adapter 1) 

[default] Creating shared folders metadata... 

[default] Running any VM customizations... 

[default] Booting VM... 

[default] Waiting for VM to boot. This can take a few minutes. 
[default] VM booted and ready for use! 

[default] Mounting shared folders... 

[default] -- v-root: /vagrant 

[default] -- v-data: /vagrant_data 

[default] -- manifests: /tmp/vagrant-puppet/manifests 

[default] Running provisioner: Vagrant::Provisioners::Puppet... 
[default] Running Puppet with site.pp... 

[default] stdin: is not a tty 

[default] notice: /Stage[main]//Node[devbox]/File[/etc/motd]/ 
ensure: defined content as '{md5}0bdeca690dbb409d48391f3772d38°¢ 


[default] 

[default] notice: /Group[puppet]/ensure: created 
[default] 

[default] notice: Finished catalog run in 0.36 seconds 
[default] 


Je p ————— D eee 


登录 到 devbox 虚拟 主机 进行 测试 : 





# vagrant ssh 

Puppet power! 

Last login: Thu Jul 21 13:07:53 2011 from 10.0.2.2 
vagrant@devbox:~$ logout 

Connection to 127.0.0.1 closed. 


工作 原理 


vagrant 类 安装 Vagrant 和 VirtualBox 以 及 所 有 的 依赖 。 它 同时 还 定义 了 名 为 
devbox 的 define， 你 可 以 使 用 它 为 一 台 宿 主机 的 多 个 用 户 创建 devbox 的 多 个 实 
例 。 devbox 的 一 个 实例 如 下 : 


vagrant: :devbox { "app-foo-devbox": 
vm_user => "john", 
j 


此 实例 在 用 户 (ARIA john) 的 家 目录 下 创建 一 个 名 为 app-foo-devbox 的 Vagrant 
项 目 目录 (此 目录 包含 一 个 配置 文件 Vagrantfile， 它 指定 了 一 个 虚拟 机 的 配置 定 
L) 。 


当 Vagrant 首次 启动 虚拟 机 ， 它 会 在 项 目 目录 的 名 为 puppet 的 子 目录 中 查找 提供 
给 本 虚拟 机 的 Puppet 配置 清单 。 这 可 以 是 你 当前 Puppet 工作 副本 的 一 个 符号 链 
接 ， 也 可 以 是 仅 为 devbox 编制 的 独立 的 Puppet 配置 清单 (无 论 你 使 用 哪 一 种 方 
式 ， 只 要 Vagrant 能 找到 即 可 ) 。 


一 旦 虚拟 主机 已 经 配置 好 ， 它 就 可 以 投入 使 用 了 。 运 行 vagrant up 命令 即 可 启动 虚 
拟 机 ; vagrant ssh 命令 用 于 登录 虚拟 机 ; vagrant halt 命令 用 于 停止 虚拟 机 的 运 
行 。 

顺便 指出 ， 节 点 定义 中 名 为 puppet 的 group 资源 在 Vagrant 的 Puppet 供应 时 会 
引发 一 个 错误 ， 当 你 看 到 本 书 时 可 能 已 经 被 修复 。Vagrant 正 处 于 开发 活跃 期 ， 所 
以 可 能 会 有 一 两 处 无 法 正常 工作 : 如 有 疑问 ， 请 查看 本 节 最 后 的 文档 链接 。 

你 可 能 会 发 现 有 时 虚拟 机 无 法 完全 启动 ，Vagrant 只 是 处 于 超时 等 待 状态 。 这 似乎 
也 是 由 于 Vagrant 的 一 个 错误 引起 的 ， 当 你 看 到 本 书 时 可 能 已 经 被 修复 。 如 果 还 没 
有 修复 ， 你 可 以 在 Vagrantfile 中 通过 添加 如 下 的 代码 片段 来 解决 这 个 问题 : 


config.vm.boot_mode = :gui 


修改 之 后 重新 启动 虚拟 机 。 现 在 虚拟 机 在 GUI 模式 下 启动 ， 同 时 运行 了 一 个 控制 台 
窗口 。 在 此 窗口 中 ， 以 用 户 名 vagrant (口令 为 vagrant) 登录 ， 然 后 运行 如 下 命 


令 : 


# sudo /etc/init.d/networking restart 
现在 你 发 现 Vagrant 会 完成 配置 阶段 并 且 vagrant ssh 命令 也 会 工作 正常 。 
更 多 用 法 
在 本 例 中 ， 我 们 仅 对 devbox 配置 了 一 个 极其 简单 的 配置 清单 ， 它 在 /etc/motd 文 
件 中 添加 了 消息 。 为 了 使 其 更 实用 ， 可 以 让 devbox 提取 与 你 要 部 署 的 实际 服务 器 
相同 的 配置 清单 。 例 如 : 


node production, devbox { 
include myapp: :production 
} 


因此 ， 应 用 到 生产 服务 器 配置 的 任何 改变 将 同时 反映 在 你 用 于 测试 的 机 器 上 ， 这 样 
就 可 以 在 实际 部 署 之 前 先 解决 出 现 的 问题 ， 如 果 你 需要 进行 配置 的 变化 以 支持 新 的 
功能 ， 可 以 首先 在 虚拟 机 上 测试 它 ， 看 看 是 否 有 什么 不 正常 。 


如 果 你 不 再 使 用 虚拟 机 ， 想 要 挂 起 或 关闭 它 ， 只 要 运行 
# vagrant suspend 

或 
# vagrant halt 

想 要 完全 删除 虚拟 机 ， 例 如 你 要 重新 测试 供应 ， 运 行 : 


# vagrant destroy 


Vagrant 的 维护 者 为 了 使 其 使 用 简单 做 了 相当 多 的 工作 ， 如 果 你 需要 阅读 更 多 关于 
Vagrant 的 内 容 请 访问 其 文档 站 点 : http://vagrantup.com/docs/index.html ° 


外 部 工具 和 Puppet 生态 环境 


Unix is the answer, but only if you phrase the question very carefully. 
— Belinda Asbell 
在 本 章 中 ， 我 们 将 学 习 如 下 内 容 : 
e 创建 Facter 的 自 定义 fact 
e 在 运行 Puppet 之 前 和 之 后 执行 命令 
e 从 Shell 会 话 生 成 Puppet 配置 清单 
e 从 运行 的 系统 上 生成 Puppet 配置 清单 
e 使 用 Puppet Dashboard 
e 使 用 Foreman 
e 使 用 MCollective 
e 使 用 公共 模块 
e 使 用 外 部 节点 分 类 器 
e 创建 自 定 义 的 资源 类 型 
e 创建 自 定义 的 提供 者 


Puppet 人 的 工具 ， 但 组 合 使 用 Puppet 与 其 他 工具 和 框架 可 以 得 到 
更 大 的 利益 。 在 本 章 我 们 会 看 到 : 使 用 工具 (Facter、cft 和 puppet resource) 获 
得 Puppet 所 需 的 数据 ; 使 用 工具 (Foreman 和 Puppet Dashboard) 管理 和 报告 
来 自 Puppet 的 数据 。 


你 还 会 学 到 : 如 何 通 过 创建 你 自 定义 的 资源 类 型 扩展 Puppet， 并 在 不 同 的 平台 上 
实现 自 定义 类 型 ; 如 何 使 用 外 部 节点 分 类 器 脚本 整合 Puppet 和 数据 库 (例如 : 
LDAP) ; 如 何 使 用 来 自 Puppet Forge 的 公共 模块 ; 以 及 Puppet 如 何 与 系统 管理 
框架 MCollective 协同 工作 。 


创建 Facter 的 自 定 义 fact 


虽然 Facter A 2.4 facts 很 有 用 ， 但 实际 上 添加 你 自己 的 facts 也 是 很 容易 的 。 例 
如 ， 如 果 你 的 机 器 位 于 不 同 的 数据 中 心 或 托管 提供 商 ， 你 可 以 为 此 目的 添加 一 个 B 
定义 fact 以 便 让 Puppet 决定 是 否 需 要 应 用 一 些 本 地 设置 (例如 ， 本 地 DNS 服务 


B) 


准备 工作 
1. 在 配置 文件 puppet.conf 中 开启 pluginsync 选项 : 


[main] 
pluginsync = true 


2. 为 fact 创建 一 个 目录 。 此 目录 位 于 相应 的 模块 目录 中 ， 目 录 名 为 lib/facter。 
例如 ， 你 可 以 使 用 目录 modules/admin/lib/facter。 你 创建 的 任何 自 定 义 facts 
都 位 于 此 目录 下 并 且 Puppet 会 将 其 同步 到 客户 端 。 


操作 步骤 
1. 创建 一 个 名 为 hello.rb 的 包含 如 下 内 容 的 脚本 文件 : 


Facter.add(:hello) do 
setcode do 
"Hello, world" 
end 


2. 在 客户 端 运行 Puppet。 这 会 将 fact 同步 到 客户 机 : 


# puppet agent --test 
info: Retrieving plugin 


notice: /File[/var/lib/puppet/lib/facter/hello.rb]/ensure: defi 
content as '(md5)7314e71d35db83b563a253e741121b1d' 


info: Loading downloaded plugin /var/lib/puppet/lib/facter/hell 
info: Loading facts in hello 

info: Loading facts in hello 

info: Loading facts in hello 

info: Loading facts in hello 

info: Connecting to sqlite3 database: /var/lib/puppet/state/ 
clientconfigs.sqlite3 


info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1297258039' 


notice: Finished catalog run in 0.57 seconds 
aL HB 


3. 通过 直接 运行 Facter 命令 的 方式 检测 fact : 





# facter hello 
Hello, world 


4. 现在 你 可 以 在 一 个 Puppet 的 配置 清单 中 应 用 这 个 自 定义 的 fact : 


notify { $hello: } 


5. 4482447 Puppet? 44 X 3. fact 的 引用 将 返回 其 对 应 的 值 : 


notice: Hello, world 


工作 原理 


Facter 内 置 的 facts 与 我 们 刚刚 创建 的 自 定 义 fact 相同 的 方式 定义 。 ER 构 使 添 
加 和 修改 facts 更 为 方便 ， 并 为 你 提供 了 一 种 在 配置 清单 中 读 取 主 机 信息 的 标准 方 
法 。 


Facts ei ae 含 任何 Ruby 7.43 > i& 4722 setcode do ... end 中 最 后 算出 的 值 将 作为 
fact 的 返回 值 。 例 如 ， 你 可 以 做 个 更 有 用 的 fact > 下 面 的 代码 将 返 回 当前 登录 的 用 
PR: 


Facter.add(:users) do 
setcode do 
%x{/usr/bin/who |wc -1}.chomp 
end 
end 


其 输出 是 : 


notice: 2 users logged in 


更 多 用 法 


你 可 以 扩展 facts 使 用 以 创建 一 个 完全 “无 节点 定义 (nodeless) ”的 Puppet & 
Eo: 换言之 ，Puppet 可 以 仅 基于 facts 的 结果 决定 将 哪些 资源 应 用 到 一 台 机 器 。 
Jordan Sissel 写 了 篇 介绍 这 种 方法 的 文章 : 
http://www.semicomplete.com/blog/geekery/puppet-nodeless-configuration.html ° 


在 网 络 上 有 许多 可 用 的 自 定义 facts 的 例子 ， 包 括 Cosimo Streppone 撰写 的 关于 
“根据 IP 地 址 决定 数据 中 心 的 位 置 ” 的 文章 ， 网 址 为 : 
http://my.opera.com/cstrep/blog/puppet-custom-facts-and-master-less-puppet- 
deployment ° 


在 运行 Puppet 之 前 和 之 后 执行 命令 

如 果 你 希望 在 每 次 运行 Puppet 之 前 执行 命令 ， 可 以 在 配置 文件 中 使 用 

prerun command 配置 。 类似 地 ， 你 也 可 以 使 用 postrun command 配置 运行 
Puppet 之 后 需要 执行 的 命令 。 这 种 机 制 为 Puppet 与 其 他 软件 的 集成 提供 了 强大 
的 钧 子 ， 其 至 可 以 触发 其 他 机 器 上 的 事件 。 

prerun 和 postrun 命令 必须 能 成 功 运行 〈《 即 其 返回 的 状态 码 为 0) > SI Puppet 
将 报告 一 个 错误 。 这 可 以 让 你 通过 Puppet 的 报告 机 制 获得 任何 命令 的 错误 报告 。 


操作 步骤 
在 puppet.conf 中 设置 prerun_command 或 postrun_command 要 执行 的 命令 : 


/usr/local/bin/before-puppet-run.sh 
/usr/local/bin/after-puppet-run.sh 


prerun command 
postrun command 


更 多 用 法 


你 可 以 使 用 prerun 和 postrun 命令 将 Puppet 与 Ubuntu 的 etckeeper 版 本 库 整 合 
起 来 。Etckeeper 是 一 种 用 于 跟踪 /etc 目录 中 文件 变化 的 版 本 控制 系统 。 为 了 实 
现 此 功能 ， 在 puppet.conf 配置 文件 中 定义 如 下 的 执行 命令 : 


prerun command-/etc/puppet/etckeeper-commit-pre 
postrun command-/etc/puppet/etckeeper -commit-post 


从 Shell 会 话 生 成 Puppet 配置 清单 


| object to being called a chess genius, because | consider myself to be an all 
around genius who just happens to play chess, which is rather different. 


— Bobby Fischer 


并 非 所 有 人 都 是 天 才 。 如 果 你 确切 地 知道 安装 一 个 应 用 程序 或 服务 都 需要 做 些 什么 
的 话 ， 你 马上 就 可 以 创建 Puppet 的 配置 清单 。 尽 管 如 此 ， 你 通常 还 是 需要 首先 做 
些小 小 的 试验 ， 比如 找到 你 要 安装 的 软件 包 、 需 要 编辑 哪些 配置 文件 等 等 。 你 可 

以 使 用 script 命令 记录 你 的 Shell 会 话 ， 然 后 根据 会 话 文 件 的 记录 内 容 开 发 Puppet 
的 配置 清单 ， 这 是 个 不 错 的 方法 。 


但 如 果 有 一 个 工具 能 通过 读 取 你 的 会 话 文件 生成 Puppet 配置 清单 的 话 是 不 是 更 精 
BRE? 为 了 实现 此 功能 ，cft (读音 为 'sift') 应 运 而 生 。 一 旦 你 激活 它 ，cft 监视 你 
的 Shell 会 话 并 记 住 你 安装 的 任何 软件 包 、 任 何 服务 的 配置 、 任 何 你 创建 或 编辑 的 
文件 ， 等 等 。 当 会 话 记 录 结 束 ，cft 会 生成 一 个 重 现 你 刚刚 所 做 的 所 有 改变 的 完整 
的 Puppet 配置 清单 。 


准备 工作 


1. 当前 完整 的 cft 支持 仅 能 用 于 Red Hat/CentOS 发 行 版 ; 针对 Debian/Ubuntu 
发 行 版 的 完整 的 支持 正在 开发 中 ， 估 计 不 久之 后 即 可 完成 。 如 果 你 正在 使 用 
Red Hat/CentOS ， 只 要 安装 cft 即 可 : 


# yum install cft 


2. 对 于 Debian/Ubuntu 系统 ， 请 参考 如 下 安装 说 明 ， 网 址 为 : 
http://fmtyewtk.blogspot.com/2011/01/porting-cft-to-debian.html ° 


操作 步骤 


1. 在 本 例 中 我 们 将 使 用 cft 监视 NTP 安装 的 软件 包 并 生成 实现 相同 功能 的 配置 清 
Xo 


4 cft begin ntp 
4 apt-get install ntp 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
Suggested packages: 
ntp-doc 
The following NEW packages will be installed: 
ntp 
© upgraded, 1 newly installed, O to remove and 385 not upgradec 


Need to get 517kB of archives. 

After this operation, 1,323kB of additional disk space will be 
Get:1 http://us.archive.ubuntu.com/ubuntu/ lucid/main ntp 
1:4.2.4p8+dfsg-1ubuntu2 [517kB] 

Fetched 517kB in 5s (101kB/s) 

Selecting previously deselected package ntp. 

(Reading database ... 135278 files and directories currently 
installed.) 

Unpacking ntp (from .../ntp_1%3a4.2.4p8+dfsg-1ubuntu2_i386.deb) 


Processing triggers for man-db ... 
Processing triggers for ureadahead ... 
ureadahead will be reprofiled on next reboot 
Setting up ntp (1:4.2.4p8+dfsg-1ubuntu2) 

* Starting NTP server ntpd 


# vi /etc/ntp.conf 
# service ntp restart 

* Stopping NTP server ntpd 
[ OK ] 

* Starting NTP server ntpd 


# cft finish ntp 
# cft manifest ntp 


class ntp { 
package { 'ntp': 
ensure -&gt; '1:4.2.4p8+dfsg-1ubuntu2' 
} 


service { 'ntp': 
enable =&gt; 'true', 
ensure -&gt; 'running' 


j 


file ( '/etc/ntp.conf' : 
group =&gt; 'root', 
owner =&gt; 'root', 
mode -&gt; '0644', 
source -&gt; '/tmp/cft/ntp/after/etc/ntp.conf' 





工作 原理 


首先 告诉 cft 开始 记录 系统 的 改变 ， 并 将 其 会 话 存储 在 ntp 中 ?一 ?cft begin ntp ° 
然后 ， 当 你 安装 ntp 软件 包 时 ，cft 会 记录 这 个 事实 。 软件 包 安 装 了 服务 的 启动 脚 
本 ， 配 置 了 在 机 器 局 动 时 局 动 服务 ，cft 同时 也 记录 了 这 些 。 最 后 ，cft 注意 到 你 编 
辑 了 letc/ntp.conf 文件 ， 并 保存 了 一 份 修改 后 的 拷贝 以 备 后 用 。 


当 你 运行 cft finish ntp 命令 ， 这 会 停止 记录 变化 。 现在 你 可 以 使 用 cft manifest ntp 
命令 生成 与 你 的 控制 台 会 话 等 效 的 Puppet 配置 清单 。 


正如 你 看 到 的 ， 生 成 的 配置 清单 包括 了 package 声明 (由 命令 apt-get install ntp 
触发 ) : 


package { 'ntp': 
ensure => '1:4.2.4p8-*dfsg-1ubuntu2' 
j 


同时 包括 了 再 现 包 安装 脚本 作用 的 service 声明 ， 启 动 服务 并 设置 开机 启动 : 


service ( 'ntp': 
enable -» 'true', 
ensure -» 'running' 


个 声明 是 由 于 你 手动 配置 了 如 下 命令 所 生成 的 : 


# service ntp start 
# update-rc.d ntp defaults 


配置 清单 的 最 后 一 部 分 封装 了 ntp.conf 文件 的 改变 。 cft 只 知道 你 对 这 个 文件 做 了 
改变 ， 但 不 知道 你 具体 做 了 哪些 改变 ， 所 以 cht 将 修改 后 的 整个 文件 做 为 一 个 找 
贝 ， 并 使 其 可 以 通过 Puppet 分 发 这 个 文件 : 


file ( '/etc/ntp.conf': 
group => 'root', 
owner => 'root', 
mode => '0644', 
source -» '/tmp/cft/ntp/after/etc/ntp.conf' 


当 你 将 此 配置 清单 放 入 Puppet， 还 需要 从 原始 路 径 
(/tmp/cft/ntp/after/etc/ntp.conf) 复制 ntp.conf 文件 到 你 的 模块 树 的 适当 位 
根据 这 个 位 置 修改 source 参数 的 值 。 


M 
ET 


更 多 用 法 


cft 是 快速 生成 Puppet 配置 清单 原型 的 一 个 强大 工具 。 你 可 以 找 一 台 构 建 配 置 清 单 
的 主机 ， 尽 可 能 使 用 cft 记录 你 的 安装 和 配置 过 程 ， 并 使 用 它 对 整个 会 话 进行 编码 
生成 Puppet 的 配置 清单 。 虽然 这 还 需要 一 些 额 外 的 编辑 工作 ， 但 是 比 你 从 头 开始 
编写 配置 清单 要 快 得 多 。 


支行 的 系统 上 生成 Puppet 配置 清单 


余 了 使 用 cft 从 系统 管理 员 的 控制 台 会 话 生成 Puppet 配置 清单 以 外 ， 还 可 以 使 用 
d resource 从 系统 中 已 存在 的 配置 生成 Puppet 配置 清单 。 例如， 你 可 以 使 
用 puppet resource 生成 系统 中 所 有 用 户 的 配置 清单 。 这 对 于 生成 工作 系统 的 快照 
并 将 这 些 配置 快速 转换 到 Puppet 是 相当 有 用 的 。 


操作 步骤 
1. 要 生成 指定 用 户 的 配置 清单 ， 请 运行 


# Supe resource user john 

user ( 'john' 
do TE -&gt; 'O', 
password max age -&gt; '99999', 


uid -&gt; '1002', 

password -&gt; '!', 

gid -&gt; '1001', 

groups =&gt; ['git' J, 

ensure =&gt; 'present', 
comment =&gt; 'John Arundel', 
home -&gt; '/home/john', 
shell -&gt; '/bin/bash' 


2. 要 生成 指定 服务 的 配置 清单 ， 请 运行 


# puppet resource service ntp 
service { 'ntp': 
ensure -&gt; 'running', 
enable -&gt; 'true' 


3. 要 生成 指定 软件 包 的 配置 清单 ， 请 运行 : 


# puppet resource package exim4 
package { 'exim4': 

ensure -&gt; '4.71-3ubuntu1' 
J 


更 多 用 法 


你 可 以 使 用 puppet resource 检查 Puppet 每 种 可 用 的 资源 类 型 。 在 上 面 的 例子 
中 ， 我 们 针对 一 个 资源 类 型 的 具体 实例 生成 了 配置 清单 ， 然 而 你 也 可 以 使 用 
puppet resource 导出 一 种 资源 类 型 的 所 有 实例 : 


# puppet resource user 
user { 'Debian-exim': 


ensure => 'present', 

uid a Aetna yale 

gid = joa 

home => '/var/spool/exim4', 
password => 'I', 


password min age => '0', 
password max age => '99999', 


shell -» '/bin/false' 
} 
user { 'avahi': 
ensure => 'present', 
uid => 3949. 
gid S iG ee 
home => '/var/run/avahi-daemon', 
password EU EL 
password min age => '0', 
comment => 'Avahi mDNS daemon,,,', 
password_max_age => '99999', 
shell => '/bin/false' 


这 会 产生 许多 输出 | 


使 用 Puppet Dashboard 


Puppet Dashboard 是 一 个 管理 Puppet 安装 的 有 用 的 工具 ， 尤 其 对 于 大 量 的 安 

装 ， 并 且 能 够 通过 一 个 Web 界面 看 到 节点 的 信息 和 报告 。Puppet Dashboard 可 
以 为 你 显示 最 近 运 行 Puppet 的 节点 ， 它 们 运行 了 多 长 时 间 ， 是 否 有 任何 节点 的 错 
误 报告 ， 以 及 是 否 有 一 段 时 间 内 没有 运行 Puppet 的 节点 等 。 


准备 工作 


1. 从 Puppet Labs 站 点 http://www.puppetlabs.com/misc/download-options/ 下 载 
Puppet Dashboard 软件 包 并 解压 缩 。 软 件 包 中 有 一 个 安装 说 明文 件 
README.markdown， 但 你 可 能 需要 先 安装 以 下 依赖 的 包 (部 分 或 全 部 ) 


# apt-get install -y build-essential irb libmysql-ruby 
libmysqlclient-dev libopenssl-ruby libreadline-ruby mysql-serve 
rake rdoc ri ruby ruby-dev 





2. 为 Puppet Dashboard 应 用 程序 创建 一 个 MySQL 数据 库 和 用 户 (使 用 自己 的 
口令 ) : 


# mysql -uroot 

Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 39 

Server version: 5.1.41-3ubuntu12.9 (Ubuntu) 


Type 'help;' or '\h' for help. Type '\c' to clear the current 
input statement. 


mysql&gt; create database dashboard; 
Query OK, 1 row affected (0.00 sec) 


mysql&gt; grant all on dashboard.* to dashboard@localhost ident 
by 'topsecret'; 
Query OK, © rows affected (0.01 sec) 


mysql&gt; flush privileges; 
Query OK, © rows affected (0.00 sec) 





3. 复制 Puppet Dashboard 提供 的 样 例文 件 database.yml， 并 做 适当 的 修改 : 


# cd puppetlabs-puppet-dashboard-071acf4 
# cp config/database.yml.example config/database.yml 
# vi config/database.yml 


production: 
database: dashboard 
username: dashboard 
password: topsecret 
encoding: utf8 
adapter: mysql 


4. 使 用 应 用 程序 提供 的 Rake 任务 创建 如 下 的 初始 化 数据 库 : 


# rake RAILS_ENV=production db:migrate 


# script/server -e production 

=&gt; Booting WEBrick 

=&gt; Rails 2.3.5 application starting on http://0.0.0.0:3000 
=&gt; Call with -d to detach 

=&gt; Ctrl-C to shutdown server 

[2011-02-21 09:54:32] INFO WEBrick 1.3.1 

[2011-02-21 09:54:32] INFO ruby 1.8.7 (2010-01-10) [i486-linux] 
[2011-02-21 09:54:37] INFO WEBrick::HTTPServer#start: pid-1657C€ 
port-3000 


Using a web browser, connect to localhost:3000 


B[p——À—————————————— À— 5) 





2. 如 图 所 示 ， 你 应 该 看 到 Puppet Dashboard 的 界面 : 


File Edit View History Bookmarks Tools Help 
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. 现在 你 需要 配置 Puppetmaster 向 Puppet Dashboard 发 送 报告 。 为 了 实现 这 
个 功能 ， 你 需要 配置 puppet.conf 文件 的 reports 参数 ， 为 其 添加 http 报告 : 


reports = http,log 


.重新 启动 Puppetmaster 使 新 配置 的 报告 生效 。 
. 在 节点 上 运行 Puppet : 


# puppet agent --test 


. 在 Puppet Dashboard 界面 中 单 击 Nodes 链接 。 如 图 所 示 ， 你 应 该 看 到 表明 
Puppet 运行 成 功 的 绿色 区 域 : 


File Edit View History Bookmarks Tools Help 


<a T © @ | A | http://localhost:3000/nodes v| EH 


AA Puppet Node Manager dh 
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工作 原理 


当 在 一 个 节点 上 运行 了 Puppet， 它 会 使 用 其 报告 装置 向 Puppet Dashboard 发 送 报 
告 。Puppet Dashboard 会 存储 这 些 数据 并 利用 这 些 数据 显示 所 有 节点 上 的 Puppet 
活动 的 图 表 和 摘要 。 

更 多 用 法 


你 也 可 以 使 用 Puppet Dashboard 创建 新 的 节点 或 类 ， 并 控制 哪些 节点 需要 包含 哪 
些 类 。 实际 上 ， 它 为 你 管理 Puppet 配置 清单 提供 了 一 个 Web 接口 ， 所 以 你 可 以 
通过 Web 浏览 器 来 编辑 配置 清单 ， 而 不 是 直接 修改 文本 文件 。 这 是 一 个 有 吸引 力 
的 功能 ， 尤 其 用 于 想 让 其 他 团队 或 部 门 的 人 能 够 管理 他 们 自己 的 Puppet 配置 时 。 


为 了 实现 Puppet Dashboard 的 这 个 功能 ， 你 需要 配置 Puppet 使 用 external node 
classifier ; 这 将 在 使 用 外 部 节点 分 类 器 一 节 中 介绍 。 


参见 本 书 
。 第 2 章 的 生成 报告 一 节 
e 第 2 章 的 创建 图 形 化 报告 一 节 
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。 KEM 使 用 外 部 节点 分 类 器 一 节 
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使 用 Foreman 


Foreman 是 一 个 基于 Web 的 类 似 于 Puppet Dashboard 的 Puppet 管理 工具 ， 但 
它 更 为 雄心 勃勃 。 Foreman 不 仅 可 以 管理 Puppet 报告 、 节 点 和 配置 清单 ， 而且 可 
以 为 你 供应 新 机 器 。 如果 你 需要 自动 创建 大 量 的 服务 器 或 者 你 需要 频繁 地 重建 服务 
器 ，Foreman 将 有 助 于 你 实现 这 一 过 程 。 





准备 工作 
1. 在 你 的 系统 中 添加 Foreman 包 的 仓库 ， 参 考 说 明 : 
http://theforeman.org/projects/foreman/wiki/Installation_instructions ° 
2. 安装 Foreman & : 
# apt-get update 
# apt-get install foreman 
3. 系统 将 提示 你 选择 一 种 数据 库 ， 请 根据 需要 选择 mysql ^ pgsql X sqlite 。 
4. 根据 选择 的 数据 库 ， 安 装 你 的 数据 库 所 依赖 的 软件 包 : 
# apt-get install foreman-mysql 
# apt-get install foreman-pgsql 
# apt-get install foreman-sqlite3 
5. 复制 文件 /etc/foreman/extras/puppet/foreman/files/foremanreport.rb 到 你 的 
Puppet 自 定义 报告 目录 (通常 是 /usr/lib/ruby/1.8/puppet/reports) 并 将 其 重 
命名 为 foreman.rb : 
# cp /etc/foreman/extras/puppet/foreman/files/foreman-report.rk 
/usr/lib/ruby/1.8/puppet/reports/foreman.rb 
6. 编辑 foreman.rb 文件 设置 你 的 Foreman 服务 器 URL : 
# URL of your Foreman installation 
$foreman_url="http://cookbook.bitfieldconsulting.com: 3000" 
7. 编辑 你 的 puppet.conf 添加 foreman 报告 类 型 到 已 启用 的 报告 类 型 列表 : 


[master] 
reports = store, log, foreman 
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8. 重新 启动 Puppetmaster 使 新 配置 的 报告 生效 。 
TRE Sy JR 
È 3l Foreman 服务 器 : 


# /usr/share/foreman/script/server -e production 


2. 使 用 你 之 前 设置 的 URL (http://cookbook.bitfieldconsulting.com:3000 ) 浏览 
Foreman 的 Web 界面 。 


你 应 该 看 到 如 下 的 Foreman 初始 欢迎 界面 : 





Y v € | P| http;llocalhost:3000/ 


多 The Foreman op 
THE FOREMAN Support Wiki 





DASHBOARD Hosts’ Reports Facts AuprLoG STATISTICS 


WELCOME 
Always remember that there is online help available from the two links at the top 
right of the page. 


Before you can use Foreman for the first time there are a few tasks that must be 
performed. You must decide how you wish to use the software, and update the file 
config/settings.yaml to indicate your selections. 





OPERATING MoDE 


You may operate Foreman in basic mode, in which it acts as a reporting and external node 
generator or you may also turn on unattended mode operation in which Foreman creates 
and manages the configuration files necessary to completely configure a new machine. 
When operating in unattended mode Foreman will require more information, so expect 
more questions, but it will be able to provide Kickstart and Preeseed files for a Redhat or 
Debian installation (see here for more details). 


User AUTHENTICATION 


Foreman, by default, operates in anonymous mode where all operations are performed 
without reference to the user who is performing the task. If you wish to track the actions of 








3. 现在 ， 在 一 个 客户 端 运行 Puppet : 


# puppet agent --test 


在 Foreman 的 Web 界面 中 进入 Reports 标签 页 ， 如 图 所 示 ， 你 会 看 到 刚刚 
运行 的 客户 报告 : 
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story Bookmarks Tools Help 


e "Um © A | Y | http://localhost:3000/reports 


多 All Reports ap 



















THE FOREMAN Support Wiki 


DasHBOARD Hosts REPORTS Facts AuDTLoG STATISTICS | 


Search Reset 
ALL REPORTS 


Failed Config 


restarts Skipped trieval Runtime 





Applied Restarted Failed 








cookbook.bitfieldconsulting.com YX less 1 0 0 0 0 6.06 6.42 Details 
than a Destroy 
minute ago 


Displaying 1 report 





4. 进入 Dashboard 标签 页 你 会 看 到 一 个 针对 所 有 客户 的 OVERVIEW (本 例 中 只 
有 一 个 客户 ) 。 
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DasHBoaRD Hosts Reports Facts Aupr LoG  Srarisrics 





OVERVIEW 
Run Distribution in the last 30 minutes Puppet Clients Activity Overview 
a Generated at 02 Mar 06:42 
Host Reports in the last 30 minutes 0 / 1 hosts (0%) 
Hosts that had performed modifications 1 
Out Of Sync Hosts 0 j 
777 777 "~ M 
Hosts in Error State 0 
Sees 
GA ste A Ce OGG Hosts With Alerts Disabled 0 
R OE $. CODO T 
RN 























更 多 用 法 


此 处 我 们 仅仅 接触 到 了 Foreman 的 一 些 基本 功能 。 既 然 已 经 运行 了 一 个 配置 好 的 
Foreman ， 你 就 可 以 尝试 不 同 的 报告 、 图 表 、 以 及 Foreman 提供 的 其 他 信息 。 
你 有 很 多 主机 需要 管理 ， 并 希望 看 到 Puppet 如 何 跨 越 整 个 网 络 的 运行 统计 时 ， 

些 信 息 会 变 得 T EUR 值 


Foreman 的 另 一 个 主要 特性 是 供应 : 它 可 以 使 用 PXEboot 和 Kickstart 从 头 创建 物 
理 服务 器 或 虚拟 服务 器 ， 对 Puppet 证 书 进 行 自动 签名 ， 并 运行 Puppet 将 机 器 带 
入 生产 状态 。 欲 了 解 更 多 有 关 如 何 实现 的 详细 信息 ， 请 查阅 Foreman 文档 : 
http://theforeman.org/projects/foreman/wiki/Unattended_installations ° 
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Puppet 2.7 Cookbook 中 文 版 


如 果 你 决定 将 Foreman 用 于 生产 环境 ， 就 值得 为 其 设置 Apache 虚拟 主机 ， 
而 不 是 使 用 Webrick 带动 Foreman 。 Webrick 对 测试 环境 很 有 用 ， 但 它 不 是 
真正 的 生产 级 别 的 Web 服务 器 。 
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使 用 MCollective 


Marionette Collective (简称 为 MCollective) 是 一 个 系统 管理 工具 。 MCollective 
可 以 在 大 量 服务 器 上 并 行 运 行 命令 ， 它 采用 广播 架构 ， 所 以 ， 你 可 以 使 用 它 管理 一 
个 大 型 网 络 而 不 需要 一 个 中 央 主 服务 器 或 资产 数据 库 。 

每 台 服 务 器 都 运行 一 个 MCollective 守护 进程 监听 请 求 ， 并 在 本 地 执行 命令 或 返回 
有 关 服 务 器 的 信息 。 这 也 可 以 用 来 过 滤 目 标 服 务 器 列表 。 例如， 你 可 以 使 用 
MCollective 在 符合 特定 条 件 的 所 有 服务 器 上 执行 给 定 的 命令 。 


你 可 以 考虑 将 MCollective 作为 Puppet 的 一 个 补充 (尽管 它 也 可 以 与 Chef 或 其 他 
配置 管理 系统 协同 工作 ) o 例如 ， 你 配置 一 个 新 节点 的 过 程 可 能 需要 改变 其 他 机 器 
上 的 防火 墙 配 置 ， 对 数据 库 服务 器 授予 适当 的 权限 ， 等 等 。 这 仅 使 用 Puppet 是 不 
太 容 多 做 到 的 。 虽 然 你 可 以 使 用 Shell 脚本 和 SSH 自动 化 执行 特定 的 工作 ， 但 是 

MCollective 提供 了 解决 这 个 普遍 问题 的 强大 而 灵活 的 方式 。 


准备 工作 


1. MCollective 使 用 ActiveMQ 消息 代理 框架 (实际 上 ， 可 以 使 用 任何 
STOMPcompliant 中 间 件 ， 但 ActiveMQ 是 一 个 受 欢迎 的 选择 ) ，ActiveMQ 
需要 Java 运行 环境 ， 如果 你 的 系统 还 没有 安装 Java， 先 安装 它 : 


# apt-get install gcj-4.4-jre-headless 


2. 到 ActiveMQ T Ji @ http://activemg.apache.org/download.html F £ “Unix 
RA” 最 近 的 稳定 版 tar 包 。 


3. 安装 stomp gem : 


# gem install stomp 


4. 到 http:/www.puppetlabs.com/misc/download-options/ T # MCollective 最 近 
的 稳定 版 .deb 包 。 


5. 安装 已 下 载 的 deb & : 


# dpkg -i mcollective_1.0.1-1_all.deb mcollective-client_1.0.1- 
all.deb mcollective-common_1.0.1-1_all.deb 


4j — — — is 


6. 从 MOollective 的 下 载 页 面 下 载 与 .deb 版 本 相同 的 tar 包 (因为 其 中 包含 了 
ActiveMQ 配置 文件 样 例 ) 。 


7. 编辑 MCollective 的 server.cfg 文件 : 





10. 


12. 


# vi /etc/mcollective/server.cfg 


将 参 数 plugin.stomp.host 设置 为 你 的 服务 器 名 ( 即 你 运行 ActiveMQ 的 服务 


wa 


E» 


wa 


plugin.stomp.host = cookbook.bitfieldconsulting.com 


. 对 MCollective 的 client.cfg 文件 做 同样 的 设置 : 


# vi /etc/mcollective/client.cfg 


解压 缩 MCollective 的 tar 包 并 复制 ActiveMQ 的 配置 文件 样 例 到 
/etc/mcollective : 


# tar xvzf mcollective-1.0.1.tgz 
# cp mcollective-1.0.1/ext/activemg/examples/single-broker/acti 
/etc/mcollective 





.编辑 这 个 配置 文件 设置 mcollective 用 户 的 口令 与 server.cfg 中 的 相同 : 


# vi /etc/mcollective/activemq. xml 


解压 缩 ActiveMQ 的 tar 包 ， 用 指定 的 配置 文件 启动 ActiveMQ 的 服务 : 


# tar xvzf apache-activemq-5.4.2-bin.tar.gz 
# apache-activemq-5.4.2/bin/activemq start xbean:/etc/mcollecti 
activemq. xml 


INFO: Using default configuration 
(you can configure options in one of these file: /etc/default/ 
activemq /root/.activemqrc) 


INFO: Invoke the following command to create a configuration fi 
bin/activemq setup [ /etc/default/activemq | /root/.activemqrc 


INFO: Using java '/usr/bin/java' 


INFO: Starting - inspect logfiles specified in logging.properti 
and log4j.properties to get details 


INFO: pidfile created : '/root/apache-activemq-5.4.2/data/ 
activemq.pid' (pid '3322') 


HEE) 





13. 启动 MCollective 的 服务 : 


# service mcollective start 
Starting mcollective: * 


操作 步骤 
1. 使 用 如 下 命令 检查 MCollective 和 ActiveMQ 是 否 局 动 且 正 常 运行 : 


# mc-ping 
cookbook time=68.82 ms 


---- ping statistics ---- 
1 replies max: 68.82 min: 68.82 avg: 68.82 


2. 如 果 未 看 到 任何 结果 输出 ， 检 查 mcollectived 守护 进程 是 否 已 运行 ， 并 检查 用 
于 ActiveMQ 的 Java 进程 是 否 已 运行 。 


3. 针对 你 的 机 器 运行 mc-inventory 查看 MCollective 知道 的 关于 cookbook 机 器 
的 信息 : 


# mc-inventory cookbook 
Inventory for cookbook: 


Server Statistics: 
Version: 1.0.1 
Start Time: Mon Mar 07 11:44:53 -0700 2011 
Config File: /etc/mcollective/server .cfg 
Process ID: 4220 
Total Messages: 14 
Messages Passed Filters: 6 
Messages Filtered: 5 
Replies Sent: 5 
Total Processor Time: 0.8 seconds 
System Time: 0.47 seconds 


Agents: 
discovery rpcutil 
Configuration Management Classes: 


Facts: 
mcollective -&gt; 1 


LLL g 
4. 通过 在 letc/mcollective/facts.yaml 中 添加 如 下 的 代码 片段 为 服务 器 创建 一 个 新 
的 自 定 义 fact : 


purpose: webserver 


5. 现在 使 用 MCollective 查找 所 有 匹配 这 个 fact 的 机 器 


# mc-find-hosts --with-fact purpose=webserver 
cookbook 


工作 原理 


MCollective 是 一 个 广播 框架 ; SUN NA mc-find-hosts 这 样 的 请 RA , 
MOollective 就 为 所 有 请 求 的 客户 端 发 送 消息 : “有 没有 客户 匹配 这 个 过 滤器 呀 ?” 
有 匹配 过 滤器 的 客户 端 都 会 发 送 一 个 回复 ，MCollective 会 将 这 些 回 复 收 集 到 一 

并 为 你 输出 这 些 信息 。 


你 可 以 为 特定 的 任务 安装 大 量 的 插件 和 代理 (例如 ， Nox 47 Puppet) 。 这 些 插件 和 
代理 都 是 安装 在 客户 端 上 的 ，MCollective 处 理发 送 命令 到 所 有 匹配 机 器 所 涉及 的 
通信 > 并 整理 勘 校 其 任何 结果 。 


更 多 用 法 


尽管 我 们 只 涉及 了 使 用 MCollective 的 一 些 基本 步骤 ， 但 是 它 显 然 是 一 个 功能 强大 
的 工具 ， 它 既 可 以 收集 有 关 服 务 器 的 信息 ， 也 可 以 通过 选择 fact 针对 一 个 服务 器 
列表 执行 命令 。 例 如 ， 你 可 以 获得 一 个 过 去 24 小 时 没有 运行 Puppet 的 机 器 列 

表 。 又 如 ， 你 可 以 对 所 有 Web 服务 器 或 所 有 x86_64 架构 的 机 器 执行 一 系列 动 

作 。 


MCollective 本 身 只 为 这 类 应 用 提供 了 一 个 框架 。 对 于 不 同 的 应 用 有 各 种 各 样 的 插 


件 可 用 ， 而 且 编 写 自 己 的 插件 也 是 很 容易 的 。 在 下 面 的 例子 中 ， 我 们 将 使 用 
package 插件 ， 此 插件 允许 你 查询 和 操作 包 。 


安装 MCollective 插件 
1. 从 GitHub 克隆 MCollective 插件 仓库 : 
# git clone https://github.com/puppetlabs/mcollective-plugins.c 
Je ——————————— n áS Hw 
2. 复制 插件 文件 到 适当 的 目录 : 





# cd mcollective-plugins 

# cp agent/package/mc-package /usr/bin 

# cp agent/package/puppet-package.rb \ 
/usr/share/mcollective/plugins/mcollective/agent/package.r 

# cp agent/package/package.ddl \ 
/usr/share/mcollective/plugins/mcollective/agent 


A 





3. 重新 启动 MCollective : 


# service mcollective restart 


4. 3447 mc-inventory 检查 该 插件 是 否 出 现在 Agents WRF : 


# mc-inventory cookbook 


Inventory for cookbook: 
Server Statistics: 
Version: 
Start Time: 
Config File: 
Process ID: 


15:9 

Tue Mar 08 08:28:29 -0700 2011 
/etc/mcollective/server.cfg 
6047 


Total Messages: 1 
Messages Passed Filters: 1 
Messages Filtered: 0 
Replies Sent: 0 
Total Processor Time: 0.04 seconds 
System Time: 0.02 seconds 


Agents: 


discovery package rpcutil 


Configuration Management Classes: 


Facts: 
mcollective -&gt; 1 
purpose -&gt; webserver 


LLL e 
命令 检验 如 下 命令 是 


. 试 着 执行 mc-package 命 否 正常 工作 : 


# mc-package status apache2 
Do you really want to operate on packages unfiltered? (y/n): y 


cookbook version = apache2-2.2.14-5t 
---- package agent summary ---- 
Nodes: 1/1 
Versions: 1 * 2.2.14-5ubuntu8.4 


Elapsed Time: 0.58 s 


到 二 一 一 


package 代理 提供 了 一 个 强大 的 方法 用 于 在 你 的 整个 网 络 (或 特定 的 机 有 


器 ) 上 
检查 包 版 本 、 安 装 或 更 新 所 需 的 软件 包 。 有关 此 插件 和 其 他 MCollective 插件 
的 更 多 细节 ， 请 查看 wiki HH : 


http://projects.puppetlabs.com/projects/mcollective-plugins/wiki ° 





A € MCollective 的 更 多 信息 ， 请 访问 其 主页 : 
http://docs.puppetlabs.com/mcollective/ ° 


使 用 公共 模块 


Plagiarize, plagiarize, plagiarize / Only be sure always to call it, please 
research. 


Lobachevsky — Tom Lehrer 


如 果 你 对 自己 编制 的 代码 有 和 疑问 ， 使 用 他 人 的 吧 。 在 许多 情况 下 ， 当 你 要 写 一 个 
Puppet 模块 来 管理 一 些 软件 或 服务 时 ， 不 必 从 头 开 始 编写 。 对 许多 流行 的 应 用 程 
JÈ > Æ Puppet Forge 站 点 上 都 提供 了 社区 贡献 的 模块 。 有时， 一 个 社区 模块 正 是 
你 所 需要 的 ， 你 可 以 下 载 并 马上 开始 使 用 它 。 若 社 区 提供 的 模块 不 能 满足 你 的 需 
求 ， 你 可 以 对 其 进行 一 些 修改 ， 以 适应 你 的 特定 需求 和 环境 。 


如 果 你 是 个 Puppet 的 新 手 ， 能 从 一 些 现 有 的 代码 开始 对 你 将 是 一 个 很 大 的 帮助 。 
但 另 一 方面 ， 社 区 模块 往往 编写 得 尽 可 能 通用 和 便携 ， 为 了 实现 此 目的 所 需 的 额外 
代码 可 能 使 其 更 难 理解 。 


一 般 地 ， 在 你 未 阅读 和 理解 Puppet Forge 提供 的 模块 代码 之 前 ， 我 建议 你 不 要 将 
其 作为 活动 的 (drop-in) ' 模块 源 来 部 署 。 Puppet Forge 提供 的 模块 为 你 的 
Puppet 基础 设施 引入 了 一 个 外 部 的 依赖 ， 但 它 并 不 能 帮 你 提升 对 Puppet 的 理解 
也 不 利于 提升 你 使 用 Puppet 的 经 验 。 相反 ， 我 会 用 它 作 为 一 个 获取 灵感 的 源泉 ， 
从 这 方面 讲 它 还 是 很 有 帮助 的 。 从 Puppet Forge 获取 的 模块 应 该 是 一 个 起 点 ， 你 
可 以 用 它 作 为 基础 ， 制 定 和 完善 自己 的 模块 。 


要 知道 ， 一 个 给 定 的 模块 可 能 无 法 在 你 的 Linux 发 行 上 工作 。 请 检查 模块 自 带 的 
README 文件 ， 查 看 这 个 模块 是 否 支 持 你 的 操作 系统 。 
准备 工作 


1. 使 用 Puppet Forge 模块 的 最 简单 方法 是 安装 puppet-module 工具 : 


# gem install puppet-module 
Fetching: puppet-module-0.3.2.gem (100%) 


ck ck okockockck ck ok ckokockock kck ko ko kock ckock ck ck ko ko ck ckck ko ko kock ok ko kck ko ck ckock kock ck ck k ck ck ck ck kk k kk k kk kkkkek 


VEI. you for installing puppet-module from Puppet Labs! 
* Usage instructions: read "README.markdown" or run ~puppetmodt 
usage' 

* Changelog: read "CHANGES.markdown" or run ~puppet-module 
changelog' 

* Puppet Forge: visit http://forge.puppetlabs.com/ 


kkxkxkxkxkkkkxkxkxkxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 
Successfully installed puppet-module-0.3.2 
1 gem installed 


Installing ri documentation for puppet-module-0.3.2 
Installing RDoc documentation for puppet-module-0.3.2... 


lul —— — SS ss 
2. 运行 puppet-module 查看 其 可 用 的 任务 : 





# puppet-module 
Tasks: 

puppet-module build [PATH TO MODULE] 

# Build amodule for release 
puppet-module changelog 

# Display the changelog for this tool 
puppet-module changes [PATH TO MODULE] 

# Show modified files in an installed m... 
puppet-module clean 

# Clears module cache for all repositories 
puppet-module generate USERNAME -MODNAME 

# Generate boilerplate for a new module 
puppet-module help [TASK] 

# Describe available tasks or one speci... 
puppet-module install MODULE_NAME_OR_FILE [OPTIONS] 

# Install a module (eg, 'user-modname')... 
puppet-module repository 

# Show currently configured repository 
puppet-module search TERM 

4 Search the module repository for a mo... 
puppet-module usage 

# Display detailed usage documentation 
puppet-module version 

# Show the version information for this... 


Options: 
-c, [--config=CONFIG] # Configuration file 
# Default: /etc/puppet/puppet.conf 


操作 步骤 


在 本 例 中 ， 我 们 将 使 用 puppet-module 查找 并 安装 一 个 管理 Tomcat 应 用 程序 服务 
器 的 模块 。 


1. 查找 合适 的 模块 : 


# puppet-module search tomcat 


camptocamp/tomcat (0.0.1) 
jeffmccune/tomcat (1.0.1) 


2. 在 本 例 中 ， 我 们 将 安装 Jeff McCune 版 本 的 tomcat 模块 : 


# cd /etc/puppet/modules 

# puppet-module install jeffmccune/tomcat 

Installed "jeffmccune-tomcat-1.0.1" into directory: 
jeffmccune-tomcat 


3. 现在 就 可 以 在 你 的 配置 清单 中 使 用 这 个 模块 了 : 查看 其 源 代码 将 向 你 展示 这 是 
如 何 实现 的 。 


工作 原理 


puppet-module 工具 使 用 简单 地 自动 化 过 程 从 Puppet Forge 站 点 搜索 和 下 载 模 
块 。 你 也 可 以 浏览 该 网 站 查询 可 用 的 模块 : http://forge.puppetlabs.com/ ° 
更 多 用 法 


并 非 所 有 公开 可 用 的 模块 都 保存 在 Puppet Forge 上 。 其 他 的 存放 位 置 是 在 GitHub 
EG 


e https://github.com/camptocamp 
e https://github.com/example42 


Dean Wilson 在 他 的 Puppet Cookbook 站 点 : http://puppetcookbook.com/ 维护 了 
一 个 优秀 的 Puppet 的 仓库 ， 还 包括 一 些 技巧 和 处 方 。 


使 用 外 部 节点 分 类 器 


当 Puppet 运行 在 一 个 节点 上 ， 它 需要 知道 这 个 节点 应 该 应 用 了 哪些 类 。 例 如 ， 如 
果 这 是 一 个 web 服务 器 节点 ， 它 可 能 需要 包含 一 个 apache X » 将 类 映射 到 节点 
的 一 种 简单 方法 是 在 配置 清单 里 声明 ， 例如 下 面 是 一 个 nodes.pp 文件 的 例子 : 


node web1 { 
include apache 
} 


另外 ， 你 可 以 使 用 外 部 节点 分 类 器 (external node classifier，ENC) 来 实现 这 
个 工作 。 一 个 外 部 节点 分 类 器 是 任何 可 执行 程序 ， 它 可 以 接受 一 个 节点 的 名 称 ， 并 
返回 该 节点 的 类 列表 。 例如 ， 这 可 能 是 一 个 简单 的 shell 脚本 ， 或 者 是 对 一 个 可 以 
决定 如 何 映射 类 到 节点 的 更 复杂 的 程序 或 API 的 封装 。 


准备 工作 
在 你 的 puppet.conf 配置 文件 中 设置 如 下 的 参数 : 


[master | 
external_nodes 
node_terminus 


/usr/local/bin/puppet_node_classifier 
exec 


1. 创建 如 下 的 简单 脚本 /usr/local/bin/puppet_node_classifier : 


#!/bin/bash 
if [ "$1" == "cookbook.bitfieldconsulting.com" ]; then 
cat &lt;&lt;" END" 
classes: 
- admin::sudoers 
- admin::exim 
- puppet 
- nagios::target 


environment: production 
parameters: 

location: Bitfield HQ 
END 


else 
exit 1 
fi 


2. 为 该 脚本 添加 可 执行 权限 : 
# chmod 755 /usr/local/bin/puppet_node_classifier 


3. 运行 Puppet : 

# puppet agent --test 

info: Retrieving plugin 

info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1299677816' 

notice: Finished catalog run in 1.19 seconds 


工作 原理 


Puppet 调用 你 在 puppet.conf 中 由 参数 external_nodes 指定 的 脚本 ， 并 传递 节点 
的 名 称 作为 命令 行 参数 。 在 本 例 的 脚本 中 ， 我 们 检查 这 个 参数 ， 如 果 它 与 
cookbook.bitfieldconsulting.com 相同 ， 将 为 其 输出 一 个 Puppet 所 需 的 YAML 格式 
的 类 列表 。 否则 ， 此 脚本 将 返回 退出 状态 码 1 ( Puppet 指出 该 节点 没有 被 发 
W) ° 


该 脚本 还 设置 了 environment 的 值 (参见 使 用 不 同 的 环境 一 节 中 关于 这 个 参数 的 
解释 ) 。 同 时 将 变量 location 设置 成 了 Bitfield HQ? 一 ?此 变量 是 个 自 定义 变量 ， 

对 于 Puppet 并 无 特殊 含义 ， 但 是 由 于 在 ENC 中 定义 的 变量 是 顶级 范围 的 变量 ， 
可 以 在 你 的 配置 清单 里 引用 此 处 定义 的 变量 ， 所 以 ， 例 如 你 可 以 使 用 它 决 定 DNS 
解析 器 的 设置 。 你 可 以 在 此 设置 任何 你 需要 的 变量 。 


显然 ， 这 个 脚本 并 不 十 分 有 用 ， 因 为 它 只 是 输出 了 一 个 预先 确定 的 类 列表 。 一 个 更 
复杂 的 脚本 可 能 会 检查 数据 库 ， 从 中 查找 节点 所 需 的 类 列表 ， 或 从 一 个 哈 希 或 外 部 
文本 文件 中 查找 节点 所 需 的 类 列表 。 我 希望 ， 这 个 例子 足以 让 你 开始 写 出 自己 的 更 
复杂 的 外 部 节点 分 类 器 。 


有 关外 部 节点 分 类 器 的 详细 信息 ， 请 参考 : 
http://docs.puppetlabs.com/guides/external nodes.html ° 


更 多 用 法 


使 用 外 部 分 类 器 的 主要 用 途 是 使 Puppet 可 以 连接 LDAP 目录 服务 。 许 多 大 型 组 织 
都 有 个 LDAP 基础 设施 ， 你 可 以 设置 Puppet， 使 它 可 以 从 LDAP 目录 服务 获取 信 
息 ， 并 且 其 他 LDAP 客户 也 可 以 通过 Puppet 获得 由 其 管理 的 节点 信息 。 


欲 了 解 更 多 有 关 如 何 做 到 这 一 点 的 详细 信息 ， 请 访问 “Puppet f» LDAP" 页 面 : 
http://projects.puppetlabs.com/projects/puppet/wiki/LDAP_Nodes ° 


此 功能 也 可 用 于 Puppet Dashboard 和 Foreman 通过 Web 界面 管理 节点 和 类 之 间 
的 关系 ?一 ?他 们 将 以 外 部 节点 分 类 器 来 处 理 。 


创建 自 定 义 的 资源 类 型 


该 到 你 发 挥 创意 的 时 间 了 。 你 已 经 知道 了 各 种 不 同 的 Puppet 资源 类 型 : 包 
(package) ,文件 (file) ^ Hl? (user) ， 等 等 。 通 常情 况 下 ， 你 既 可 以 组 合 使 
用 这 些 内 置 资源 类 型 做 你 需要 做 的 一 切 ， 又 可 以 通过 一 个 自 定义 define 作为 一 种 
资源 (以 内 置 资 源 同 样 的 方式 ) 来 使 用 (参见 第 4 章 书写 更 优质 的 配置 清单 中 有 
关 define 的 内 容 ) 。 


但 是 ， 如 果 你 需要 创建 自己 的 资源 类 型 ，Puppet 也 可 以 很 容易 地 实现 。 原 生 的 资 
源 类 型 都 是 使 用 Ruby 书写 的 ， 为 了 创建 自己 的 资源 类 型 ， 你 需要 对 Ruby 有 一 个 
基本 的 了 解 。 


让 我 们 重新 回顾 一 下 资源 类 型 (type) 和 提供 者 (provider) 之 间 的 区 别 。 资源 
类 型 描述 了 一 个 资源 和 它 可 拥有 的 参数 (例如 ，package 类 型 ) 。 提供 者 则 告诉 
Puppet 如 何 针 对 特定 的 平台 或 情况 去 实现 一 个 资源 (例如 ，apt/dpkg 提供 者 为 
Debian/Ubuntu 系统 实现 package 资源 ) ° 
一 种 类 型 (如 : package) 可 以 有 多 个 提供 者 (如: apt» yum > fink FF) ° 如 果 
你 声明 一 个 资源 时 没有 指定 提供 者 ，Puppet 会 根据 环境 选择 一 个 最 合适 的 提供 
PT 
在 本 节 中 ， 我 们 将 看 到 如 何 创 建 一 个 管理 Git 仓库 的 自 定义 资源 类 型 ; 在 下 一 节 ， 
我 们 将 编写 一 个 实现 这 种 资源 类 型 的 提供 者 。 
准备 工作 

1. 在 你 的 puppet.conf 文件 中 启用 pluginsync ( 若 还 未 启用 ) 


[main] 
pluginsync = true 


2. 在 你 的 Puppet 仓库 中 ， 为 你 的 插件 和 类 型 创建 一 个 自 定义 模块 (FUERA 
&) 


# cd /etc/puppet/modules 
# mkdir custom 


3. 在 这 个 模块 中 ， 创 建 lib/puppet/type B x : 


# cd custom 
# mkdir -p lib/puppet/type 


操作 步骤 


在 type 目录 中 创建 一 个 名 为 gitrepo.rb 的 文件 ， 其 内 容 如 下 


Puppet: :Type.newtype(:gitrepo) do 
ensurable 


newparam(:source) do 
isnamevar 
end 


newparam(:path) 
end 


工作 原理 
第 一 行 注册 一 个 名 为 gitrepo 的 新 类 型 : 


Puppet: :Type.newtype(:gitrepo) do 


ensurable 行 确保 自动 给 出 该 类 型 的 属性 (与 Puppet 内 置 的 资源 类 似 ) 


ensurable 


现在 ， 我 们 将 给 出 此 类 型 的 一 些 参数 。 就 目前 而 言 ， 我 们 所 需要 的 参数 分 别 是 
source 参数 用 于 指定 Git 仓库 源 的 URL ; path 参数 用 于 告诉 Puppet 要 在 文件 系统 
中 的 什么 位 置 创建 仓库 。 


newparam(:source) do 
isnamevar 
end 


isnamevar 声明 告诉 Puppet 参数 source 是 此 类 型 的 namevar。 因此 当 你 声明 这 
个 资源 的 实例 时 ， 你 给 出 的 任何 名 字 将 被 视 为 source 的 值 。 例 如 : 


gitrepo { "git://github.com/puppetlabs/puppet.git": 
path => "/home/john/work/puppet", 
} 


最 后 ， 我 们 添加 path 参数 : 


newparam( :path) 


更 多 用 法 


一 旦 你 熟悉 了 创建 自己 的 资源 类 型 的 方法 ， 你 就 可 以 使 用 自 定义 的 资源 类 型 蔡 换 复 
杂 的 exec 资源 ， 这 会 使 你 的 配置 清单 更 具 可 读 性 。 然而 ， 通 过 对 自 定义 资源 类 型 
的 代码 添加 一 些 文档 和 参数 校 验 使 其 更 强壮 更 具 可 重用 性 是 一 个 好 主意 。 


文档 
我 在 上 面 故 意 举 了 一 个 简单 的 例子 ， 但 是 当 你 要 为 生产 环境 开发 丫 正 的 自 定义 类 型 


时 ， 你 应 该 加 入 文档 字符 串 描述 类 型 及 其 参数 的 用 途 。 例 如 : 


Puppet: :Type.newtype(:gitrepo) do 
@doc = "Manages Git repos" 


ensurable 


newparam(:source) do 
desc "Git source URL for the repo" 
isnamevar 

end 


newparam(:path) do 
desc "Path where the repo should be created" 
end 
end 


校 验 


当 某 人 试图 向 资源 传递 氏 误 的 值 时 ， 你 可 以 使 用 参数 校 验 (validate) 生成 有 用 的 
错误 信息 。 例 如 ， 你 可 以 校 验 要 创建 仓库 的 H XESCUCAXS: 


newparam(:path) do 
validate do |value| 
basepath - File.dirname(value) 
unless File.directory?(basepath) 
raise ArgumentError , "The path %s doesn't exist" %basepatl 
end 
end 
end 


E 





你 也 可 以 为 参数 指定 一 个 允许 的 取 值 列表 ， 例 如 : 


newparam( :breakfast) do 
newvalues(:bacon, :eggs, :Sausages) 
end 


创建 自 定义 的 提供 者 


在 上 一 节 ， 我 们 创建 了 一 个 新 的 名 为 gitrepo 的 自 定 义 资源 类 型 并 告诉 Puppet 此 类 

型 需要 携带 两 个 参数 ， 分 别 为 source 和 path» 然而 到 目前 为 止 ， 我 们 还 没有 告诉 

Puppet 如 何 检 出 仓库 ， 即 如 何 创建 这 种 类 型 的 具体 实例 。 这 正 是 提供 者 
(provider) 的 用 武之 地 。 


正如 我 们 之 前 看 到 的 ， 一 个 类 型 经 常会 有 几 种 可 能 的 提供 者 。 在 本 例 中 ， 对 一 个 
Git 仓库 进行 实例 化 仅 有 一 种 明智 的 方法 ， 所 以 我 们 只 需 一 个 提供 者 : git。 如 果 你 
想 要 扩展 这 个 自 定 义 类 型 (将 其 称 之 为 repo 而 非 gitrepo) ， 不 难 想 象 只 要 针对 不 
同类 型 的 仓库 创建 若干 不 同 的 提供 者 即 可 ， 例 如 : git、svn、cvs 等 等 。 


准备 工作 


1. 在 你 的 custom 模块 的 lib/puppet 目录 中 , 创建 一 个 名 为 providergitrepo 的 子 
目录 : 


# mkdir -p lib/puppet/provider/gitrepo 


2. 在 gitrepo 目录 中 ， 使 用 如 下 内 容 创建 一 个 名 为 git.rb 的 文件 : 


require 'fileutils' 


Puppet::Type.type(:gitrepo).provide(:git) do 
commands :git -&gt; "git" 


def create 


git "clone", resource[:source], resource[:path] 
end 


def exists? 
File.directory? resource[:path] 
end 
end 


1. 4 Puppet 配置 清单 中 添加 如 下 代码 为 新 的 资源 类 型 gitrepo 创建 一 个 实例 : 


gitrepo { "https://github.com/puppetlabs/puppet.git": 
path =&gt; "/tmp/puppet", 
ensure =&gt; present, 


现在 运行 Puppet， 你 的 新 类 型 将 被 加 载 并 进行 了 实例 化 : 


# puppet agent --test 

info: Retrieving plugin 

notice: /File[/var/lib/puppet/lib/puppet ]/ensure: created 
notice: /File[/var/lib/puppet/lib/puppet/provider]/ensure: cree 


notice: /File[/var/lib/puppet/lib/puppet/provider/gitrepo]/enst 
created 


notice: /File[/var/lib/puppet/lib/puppet/provider/gitrepo/git.r 
ensure: defined content as '{md5}a12870d89a4b517e48fe417ce2e12é 


notice: /File[/var/lib/puppet/lib/puppet/type]/ensure: created 


notice: /File[/var/lib/puppet/lib/puppet/type/gitrepo.rb]/ensur 
defined content as '{md5}90d5809e1d01dc9953464e8d431c9639' 


info: Loading downloaded plugin /var/lib/puppet/lib/puppet/ 
provider/gitrepo/git.rb 


info: Loading downloaded plugin /var/lib/puppet/lib/puppet/type 
gitrepo.rb 


info: Redefining gitrepo in Puppet::Type 
info: Caching catalog for cookbook.bitfieldconsulting.com 
info: Applying configuration version '1299850325' 


notice: /Stage[main]//Node[cookbook]/Gitrepo[https://github.con 
puppetlabs/puppet.git]/ensure: created 


notice: Finished catalog run in 74.43 seconds 





注意 : 由 于 Puppet tius ， 当 你 首次 创建 S 例 时 ， 可 能 需要 两 
次 运行 puppet 一 次 加 载 类 型 的 定义 ， 第 二 次 kp RE 创建 实例 。 如 果 
你 看 到 如 下 的 信息 


err: /Stage[main]//Node[cookbook]/Gitrepo[https:// 
github.com/puppetlabs/puppet.git]: Could not 
evaluate: No ability to determine if gitrepo exists 


BRERA ER BLK 来 的 困扰 ?一 ? 别 急 ， 再 次 运行 Puppet 即 可 正常 工 
Veo 当 你 读 到 本 书 的 出 版 物 时 ， 这 个 错误 很 可 能 已 经 被 修复 。 


工作 原理 
首先 我 们 为 gitrepo 类 型 注册 一 个 资源 类 型 的 提供 者 : 


Puppet: :Type.type(:gitrepo).provide(:git) do 


当 你 在 配置 清单 中 声明 此 类 型 的 一 个 实例 时 ，Puppet 会 先 检 查 是 否 有 已 经 存在 的 
实例 : 


def exists? 
File.directory? resource[:path] 
end 


Puppet 会 调用 我 们 实现 的 exists? 方法 来 做 这 种 检查 。 如 果 已 有 一 个 匹配 实例 
path 参数 的 目录 存在 ， 它 返回 true。 


如 果 exists? 返回 true > IZ Puppet 将 不 会 采取 进一步 的 行动 ， 否则 Puppet 将 通 
过 调用 create 方法 试图 创建 这 个 资源 : 


def create 
git "clone", resource[:source], resource[:path] 
end 


在 这 种 情况 下 ，create 方法 会 执行 git clone ， 这 会 将 原始 仓库 (由 source 参数 指 
定 ) 克隆 到 由 path 参数 指定 的 目录 。 


更 多 用 法 


你 已 经 看 到 Puppet 的 自 定义 类 型 和 提供 者 的 强大 之 处 。 实际 上 ， 他 们 可 以 做 任何 
事情 ?一 ?至 少 是 Ruby 可 以 做 的 任何 事情 。 如 果 在 你 管理 的 某 一 部 分 基础 设施 中 ， 
使 用 了 复杂 的 define fe exec 资源 ， 你 就 应 该 考虑 将 它们 替换 为 自 定义 资源 类 型 。 
实际 上 ， 在 你 创建 自 定义 类 型 之 前 可 以 先 环顾 一 下 周围 是 否 已 经 有 人 实现 了 你 需要 
的 自 定义 资源 类 型 。 


此 处 我 举 的 例子 比较 简单 ， 你 还 有 更 多 有 关 书 写 自 定义 类 型 的 内 容 需 要 学 习 。 如 果 
你 要 分 发 代码 以 供 他 人 使 用 (或 者 ， 即 使 你 不 分 发 代码 ) ， 在 代码 中 包含 必要 的 测 
试 是 一 个 好 主意 。 


Puppet Labs 有 一 些 有 关 开 发 自 定 义 类 型 的 有 用 页 面 : 
http://docs.puppetlabs.com/guides/custom_types.html 和 

http://projects. puppetlabs.com/projects/1/wiki/Development_Practical Types » 有 
关 如 何 编写 符合 Puppet Labs 标准 的 测试 信息 ， 请 参考 
http://projects.puppetlabs.com/projects/1/wiki/Development_Writing_Tests ° 


James Turnbull 为 自 定 义 类 型 的 开发 撰写 了 一 篇 相当 不 错 的 多 于 遵循 的 介绍 文章 
“Creating Puppet types and providers is easy...” > 其 地 址 为 : 
http://www.kartar.net/2010/02/puppet-types-and-providers-are-easy/ ° 


Dean Wilson 也 提供 了 一 个 非常 有 启发 性 的 例子 ， 用 于 管理 APT 资源 : 
https://github.com/deanwilson/puppet-aptsourced 。 


